В 2002-м году в Европе приняли Директиву 2002/58/EC относительно обработки ПДн и их защиты в секторе электронных коммуникаций (то чем у нас РАЭК занимается). 4-я статья этой директивы, которая так и называется "Безопасность", буквально гласит следующее:
"1. Провайдер публично доступных сервисов электронных коммуникаций обязан предпринимать соответствующие технические и организационные меры по обеспечению безопасности своих услуг; при необходимости привлекая оператора связи сети общего пользования в части обеспечения сетевой безопасности. Принимая во внимание актуальность и стоимость защитных мер, они должны обеспечить уровень безопасности, соответствующий выявленным рискам.
2. В особых случаях проявления риска нарушения безопасности сети, провайдер публично доступных сервисов электронных коммуникаций обязанпроинформировать своих абонентов о данном риске, а там, где риски выходят за рамки предпринятых провайдером защитных мер, и о всех возможных последствиях, включая сведения о вероятном ущербе".
В целом ничего сверхествественного. Общие фразы. Никакой конкретики. Множество вариантов решения задачи. Как бы поступили в России? Разработали обязательные для всех Постановления Правительства, из которых вытекают требования приказов ФСТЭК и ФСБ. Логично и предсказуемо. Ничего, что регуляторы не могут за оператора ПДн оценить риски. Ничего, что у них мотивация защиты иная и на стоимость защиты они смотрят в последнюю очередь. Мы к этому привыкли. Мало кто, готов спорить с этим подходом. Покричать на кухне, да на конференции задать "каверзный" вопрос... Это могут все. А выйти с конкретным предложением... Это увольте. На это есть "другой парень", "что я лысый и мне больше всех надо?"...
Как поступили бы в Европе? Просто. Они взяли и разработали рекомендации по реализации 4-й статьи Директивы. Вчера эти рекомендации были опубликованы. Рекомендации, не требования. Никаких требований по применяемых средствам защиты. Ключевые рекомендации следующие:
В документе есть интересный пассаж - "Следует отметить, что оператор ПДн должен также определить количество людей, пострадавших от инцидента с ПДн. И хотя данный показатель и не должен использоваться в качестве критерия для оценки последствий от инцидента с ПДн, он является параметром, который должен быть сообщен уполномоченному органу". Причем в тексте рекомендаций этот момент выделен особо. Как тут не вспомнить постоянные дискуссии о том, что нельзя классификацию ИСПДн привязывать к числу субъектов ПДн, данные о которых обрабатываются в ИСПДн.
Очень неплохо расписан раздел по уведомлениям и по распределению ролей. Приведен шаблон уведомления уполномоченного органа по факту инцидента с ПДн. Из него замечательный приказ РКН вышел бы. Интересный раздел по оценке ущерба от инцидентов с ПДн. Дан он в качестве информации к размышлению, но методика там простая донельзя. Все по таблицам и в итоге приходим к итоговому значению, от которого уже зависят, например, сроки уведомления уполномоченного органа. Немало сказано и про расследование инцидентов.
В-общем могу сказать, что документ рекомендован к прочтению.
"1. Провайдер публично доступных сервисов электронных коммуникаций обязан предпринимать соответствующие технические и организационные меры по обеспечению безопасности своих услуг; при необходимости привлекая оператора связи сети общего пользования в части обеспечения сетевой безопасности. Принимая во внимание актуальность и стоимость защитных мер, они должны обеспечить уровень безопасности, соответствующий выявленным рискам.
2. В особых случаях проявления риска нарушения безопасности сети, провайдер публично доступных сервисов электронных коммуникаций обязанпроинформировать своих абонентов о данном риске, а там, где риски выходят за рамки предпринятых провайдером защитных мер, и о всех возможных последствиях, включая сведения о вероятном ущербе".
В целом ничего сверхествественного. Общие фразы. Никакой конкретики. Множество вариантов решения задачи. Как бы поступили в России? Разработали обязательные для всех Постановления Правительства, из которых вытекают требования приказов ФСТЭК и ФСБ. Логично и предсказуемо. Ничего, что регуляторы не могут за оператора ПДн оценить риски. Ничего, что у них мотивация защиты иная и на стоимость защиты они смотрят в последнюю очередь. Мы к этому привыкли. Мало кто, готов спорить с этим подходом. Покричать на кухне, да на конференции задать "каверзный" вопрос... Это могут все. А выйти с конкретным предложением... Это увольте. На это есть "другой парень", "что я лысый и мне больше всех надо?"...
Как поступили бы в Европе? Просто. Они взяли и разработали рекомендации по реализации 4-й статьи Директивы. Вчера эти рекомендации были опубликованы. Рекомендации, не требования. Никаких требований по применяемых средствам защиты. Ключевые рекомендации следующие:
- Необходимо выстроить целостную процедуру управления инцидентами с ПДн. Вот эта первая рекомендация, она ключевая и именно она отличает Европу и США от России. У нас важно применить кучу защитных мер, приобрести сертифицированные средства защиты (правда, за взлом такого средства с голограммой никто не отвечает), провести аттестацию, получить лицензию. А вот управлять инцидентами не важно совсем. Нет ни требований, ни обязанности уведомлять (точнее нет описанной процедуры и наказания за неуведомление). В Европе и США подход иной. Неважно КАК ты защищаешься - важно, чтобы субъекту не был нанесен ущерб. И вот если он нанесен, то придут и накажут. Но при условии, что ты ничего не сделал для снижения ущерба для субъекта. А если сделал, то тоже накажут, но не так сильно. ТАМ в области защиты самих ПДн первичен субъект, у НАС первично выполнение требований по защите.
- Необходимо выстроить процесс управления рисками, особенно в части их идентификации и оценки.
- Необходимо выстроить процесс оценки ущерба, разбиваемый на 2 стадии - первичная оценка (в течении 24 часов после инцидента) и более глубокая и детальная оценка.
- Необходимо выстроить процесс уведомления пострадавших субъектов.
- Необходимо извлечь уроки из инцидента и устранить причины, приведшие к нему.
В документе есть интересный пассаж - "Следует отметить, что оператор ПДн должен также определить количество людей, пострадавших от инцидента с ПДн. И хотя данный показатель и не должен использоваться в качестве критерия для оценки последствий от инцидента с ПДн, он является параметром, который должен быть сообщен уполномоченному органу". Причем в тексте рекомендаций этот момент выделен особо. Как тут не вспомнить постоянные дискуссии о том, что нельзя классификацию ИСПДн привязывать к числу субъектов ПДн, данные о которых обрабатываются в ИСПДн.
Очень неплохо расписан раздел по уведомлениям и по распределению ролей. Приведен шаблон уведомления уполномоченного органа по факту инцидента с ПДн. Из него замечательный приказ РКН вышел бы. Интересный раздел по оценке ущерба от инцидентов с ПДн. Дан он в качестве информации к размышлению, но методика там простая донельзя. Все по таблицам и в итоге приходим к итоговому значению, от которого уже зависят, например, сроки уведомления уполномоченного органа. Немало сказано и про расследование инцидентов.
В-общем могу сказать, что документ рекомендован к прочтению.
Алексей! А Вы готовы сделать/поучаствовать в такой инициативе у нас?
ОтветитьУдалитьЯ Вам вышлю свои наработки именно подобного подхода по нашим ПДн. У меня просто не нашлось ресурсов выложить это все на сайт в том виде, как оно есть. Точнее нет денег купить сайт и сделать его именно в том виде как в презентациях (мой круг спецов, кто это может сделать, ограничен, а они попросили в общей сложности около 40 т.р.).
И никаких обсуждений. Выложили - народ пусть пользуется рекомендациями и шаблонами как хочет. На то они и рекомендации. А именно такой подход и рождает то, что становится "де факто" стандартом для всех.
Согласны на совместную работу? На любом уровне - как частные лица или как совместная разработка организаций - по Вашему усмотрению.
;)
ZZubra: разница в том, что у них инициатива исходит от государства, а у нас - от "любого уровня", кроме государства, и потому последним наказуема за несоответствие политике партии и правительства. Вон - Ю.В.Травкин, уважаемый, организовал mpdata.ru со своим подходом к проблематике, но судя по внешним признакам, посещаемость его близка к нулю.
ОтветитьУдалитьА читать енисовские документы, конечно, можно, но только одно расстройство от этого...
Этот комментарий был удален автором.
ОтветитьУдалитьТравкин решил диктовать свое мнение, ассоциацию создавать и так далее.
ОтветитьУдалитьЯ же просто предлагаю выкладывать документы и все. Опыт у меня уже есть - народ скачивает и пользуется, но сейчас это все неудобно и непонятно.
Насчет инициативы - мы и есть государство.
Я готов организовать такую работу с кем угодно, лишь бы ВСЕМ было удобно.
Повторюсь, именно так рождались импортные рекомендации. Роскомнадзор сам не знает как оно все практически должно выглядеть. Увидит примеры - начнет пользоваться. Начнет пользоваться - сделает ссылку. Вот Вам и "российские рекомендации".
Насчет 40 тыщ - так это мне так сказали - можно на чем-то другом все сделать или уже есть то что надо - я просто про это другое не знаю!
Cisco большая корпорация с очень талантливыми и грамотными специалистами, почему бы патриотам своей Родины, работающим в наднациональной корпорации не помочь "ГНИИ ПТЗИ" и прочим институтам и научным центрам РФ в разработке нормативных актов. Можно материально, можно интеллектуально....вариантов много
ОтветитьУдалитьВиталий, патриоты своей страны, работающие в транснациональной компании, помогают чем могут. Но не материально. В этой стране это не работает.
ОтветитьУдалитьНо причем тут ГНИИ ПТЗИ? Он сам ничего не делает. Только по команде от ФСТЭК. Либо в рамках ТК362. В первом варианте можно напрямую с ФСТЭК работать. Во втором необходимо получить согласие Ростехрегулирования на создание ГОСТа по защите ПДн. А уж потом заниматься написанием требований.
Спасибо за ответ, Алексей. Признаться уж, иногда мне кажется Вы "перегибаете палку". Все не так радужно "за бугром" как Вы рисуете. Все там так же как и у нас и то же самое, а иногда и еще ЛУЧШЕ чем у нас :-). Да и вообще...вон...в 43 году в Тегеране, не было всех этих методик, положений, ИСО и пр....но почему-то наши службы безопасности, не имея всего этого кладезя бесценных мудростей смогли обеспечить безопасность и конфиденциальность проведения переговоров несмотря на все усилия Абвер.
ОтветитьУдалитьЕвропа-Европой. 90% Западных методик просто бесполезны и никогда не будут работать в отечественных организациях по причинам иного русского менталитета и целеполагания. Формально внедрят, а на практике...ни одному немцу не придут в голову такие решения и схемы мошенничества и преодоления защиты как русскому человеку.
Я бы на Вашем месте расхваливал ФЗ о ПДн,методики ФСТЭК и ФСБ, ведь по большому счету, признайтесь, благодаря этим "несовершенным, неправильным, противоречивым и т.д." документам, Cisco хорошо увеличило свои прибыли.
Спасибо за ответ, Алексей. Признаться уж, иногда мне кажется Вы "перегибаете палку". Все не так радужно "за бугром" как Вы рисуете. Все там так же как и у нас и то же самое, а иногда и еще ЛУЧШЕ чем у нас :-). Да и вообще...вон...в 43 году в Тегеране, не было всех этих методик, положений, ИСО и пр....но почему-то наши службы безопасности, не имея всего этого кладезя бесценных мудростей смогли обеспечить безопасность и конфиденциальность проведения переговоров несмотря на все усилия Абвер.
ОтветитьУдалитьЕвропа-Европой. 90% Западных методик просто бесполезны и никогда не будут работать в отечественных организациях по причинам иного русского менталитета и целеполагания. Формально внедрят, а на практике...ни одному немцу не придут в голову такие решения и схемы мошенничества и преодоления защиты как русскому человеку.
Я бы на Вашем месте расхваливал ФЗ о ПДн,методики ФСТЭК и ФСБ, ведь по большому счету, признайтесь, благодаря этим "несовершенным, неправильным, противоречивым и т.д." документам, Cisco хорошо увеличило свои прибыли.
Мы вечно с открытым ртом смотрим на Европу по одной единственной причине: никто не хочет нести ответственность за СВОИ рекомендации. И плевать что они ни разу не подходят и никогда не заработают. Страна стрелочников.
ОтветитьУдалить"Они" - это европейские?
ОтветитьУдалитьДа, европейские. Да любые другие НЕтехнические нормы, написанные не для российского общества.
ОтветитьУдалитьА что там неприменимого и неработающего?
ОтветитьУдалитьЛюбые институты, тупо содранные с европейского права.
ОтветитьУдалитьПровальный институт уведомления уполномоченного органа, самый яркий пример, во что его превратили местные правоприменители - это пи**ец.
Институт согласия - не работает должным образом - согласие у нас формальное или добровольно-принудительное, как и всегда было - к тому согласию отношения не имеет.
Это самое яркое.
А любые "рекомендации" у нас лягут в стол до тех пор, пока за их неисполнение не начнут мочить по сортирам и присылать докторов. И самое смешное - все по той же причине - никто не хочет совершать поступки (добровольно принимая на себя обязательства что-то делать следуя рекомендациям) и нести за них ответственность.
Прекрасный пример - внедрение СТО - пока на начнут давить ставкой кредита, подавляющее большинство банков не присоединятся. Они не понимают что исполнение рекомендации банку может дать, кроме геморроя.
Так на то они и рекомендации, чтобы самому принимать решение - соблюдать ил инет. Там наказывают не за несоблюдение, а за нанесение ущерба субъекта. А рекомендации всего лишь помогают выстроить процесс, чтобы этого ущерба не было или он был бы минимизирован
ОтветитьУдалитьВсему виной человеческая лень и боязнь нести ответсвенность за принятые решения. Люди боятся ошибиться, а ведь благодаря ошибкам мы совершенствуемся.
ОтветитьУдалитьПоэтому это РЕКОМЕНДАЦИИ. Хошь пользуй, хошь нет
ОтветитьУдалитьТак у нас то ущерб никого не интересует (в т.ч. регуляторов), поэтому рекомендации должны быть не для предотвращения ущерба, а для исполнения обязательных требований. Вот в этом и разница между нашими и европейскими рекомендациями.
ОтветитьУдалитьЯ так понял, что мое предложение никому не нужно :) собственно ожидаемо ))))) Ну что ж, осталось дождаться пока регуляторы )))) выпустят рекомендации )))
ОтветитьУдалитьИБ убыточна по своей сути. И пока расходы на ИБ выше убытков от инцидентов никто деньги вкладывать не будет. Там, где ИБ действительно важна для бизнеса все сделано и без регуляторов, конечно хорошие рекомендации при этом не помешают. Мы все согласны, что плясать надо от вреда субъекту, регуляторам проще контролировать и карать за несоблюдение мер. Может внуки доживут до лучшей жизни.
ОтветитьУдалить2 ZZubra
ОтветитьУдалитьА чем сайт Датума не устраивает как площадка для размещения? Не уж то Ю.В. против? Так это решаемо, имхо.
Не Датум, так ЖЖ или Блогспот. Я готов сотрудничать, но чем я, например, могу помочь?
Добрый день коллеги. Прочитав комментарии - удивился. Вы хоть кто то работал на международной арене ИБ....Алексей правильно говорит 9не всегда конечно согласен). НО...NIST и все страны (даже так называемые развивающиеся, к которым и мы относимся)на голову выше по развитию систем безопасности. и что мы опять с "русским менталитетом" ? Хватит уже ерунду говорить - нам надо или поднимать образование (что смешно выглядит -знаю тут пару академий), или четко прорабатывать. то что сделано в мире. Все решения ФСТЭК и кое кого другого - уже просто смешны. Людям . кто что то понимает в И безопасности.
ОтветитьУдалитьДатум - последнее мое прочтение правил говорило о членстве, взносах. А моя организация не хочет платить и не будет. Но не против, если я буду делиться наработками. Если я ошибаюсь - рад раскаяться.
ОтветитьУдалитьЖЖ и блог надо достаточно долго раскручивать, с сайтом на мой взгляд все проще. Да и жж и блогспот имеют достаточно много ограничений. Обсуждение - можно организовать, а вот представление материалов - фигня получается. По той же причине не приглянулся викисек. Людям нужен простой интерфейс - зашел - скачал.
К сожалению не срослось сотрудничество с "Кодекс" - у них есть продукт разработки своих документов со ссылками на документы в правовой базе - но регионалы запросили безумные деньги за установку правовой базы без поддержки.
Давайте я Вам вышлю материалы, а Вы посмотрите и потом пообщаемся? Только скажите куда.
У меня сложилось впечатление, что Вы Dmitry K не пытались выполнять работы, допустим, в больнице, где 15 админов, но никто не знает пароль админа, не может установить принтер и т.п. И не говорите, что таких надо гнать - это не нами решается. Мы можем работать только с теми, кто есть. А если совсем честно, то профи ВООБЩЕ не найти, тем более на такие зарплаты. Я не раз сталкивался с админом-рентгенологом.
ОтветитьУдалитьА если рассмотреть врачей, так тем уж точно абсолютно пофиг на все требования по ИБ. Они смерть рядом видят, а тут мы со своими мелочными требованиями. Да еще НЕУДОБНЫМИ. Только главврачи, которые уже успели обжечься на предоставлении сведений о здоровье родственникам, отдаленно могут понять суть проблемы ИБ.
И совсем уж наш менталитет формируется законодательством, которое все время МЕНЯЕТСЯ! Невозможно что-то сделать и работать. У меня вообще мечта - чтобы в Конституции запретили вносить изменения в ФЗ чаще чем раз в 3 года. Пусть продумывается все сразу, а не как с ФЗ об ЭП - он еще в полную силу не заработал, а в него уже изменения вносят, которые явно можно было прописать сразу.
ZZubra : как с вами связаться, есть значительное число людей, которым ваши наработки будут интересны
ОтветитьУдалитьxanton@list.ru
ОтветитьУдалитьЕдинственное - мне скучно отсылать документы и объяснять одно и то же много раз. Интересно выложить и объяснить один раз. Денег за это не хочу :) Так сказать "халява"
это все прекрасно, но у нас не будет работать. Не тот менталитет, нет нужной нормативной базы по ответственности оператора.
ОтветитьУдалитьДа и не припомню я коммерческой отрасли в РФ, где бы коммерсанты сами, по рекомендациям государства принимали эффективные меры по обеспечению безопасности чего нибудь.
не та еще стадия развития, поэтому про еврозаконы можно только поговорить и не более
Коллеги, опять выскажусь.
ОтветитьУдалитьПоймите. что надо "продавить" внедрение закона. Или опять все будет -тупо и глупо. Врач...он ОБЯЗАН защитить если я чем то боле...или давай страхование вводить..печень у меня села-все знают -так кто слил ?
А если вернуться к чему разговор - надо ВНИМАТЕЛЬНО читать западные стандарты...или хотя бы От ООН (ITU).
Сергей, ты не понял. Рекомендации вообще мало где работают - это психология. Но... там тебя накажут за нанесение УЩЕРБА. А чтобы наказали меньше и ты не пошел в отказ, ссылаясь на то, что ты не знал как защищать, разработаны эти рекомендации. Ты можешь им и не следовать, но тогда тебя накажут по полной. Т.е. сам виноват.
ОтветитьУдалитьА у нас все наоборот.
ZZubra, в блоге выложи. И это бесплатно ;-)
ОтветитьУдалитьДа...я на всякий случай =Дима Костров
ОтветитьУдалитьВрач много чего обязан, врачу тоже много кто много чего обязан. А те 15 туповатых админов так вообще должны быть хотя бы с головой. Дальше что?..
ОтветитьУдалитьУправляют не абстрактным "народом", проживающим под юрисдикцией РФ, а реальными людьми, для которых юрисдикция - это не всегда "обязан", которые имеют слишком много чего сказать и куда послать эту юрисдикцию за 10 тысяч рублей в месяц.
Врач много чего обязан, врачу тоже много кто много чего обязан. А те 15 туповатых админов так вообще должны быть хотя бы с головой. Дальше что?..
ОтветитьУдалитьУправляют не абстрактным "народом", проживающим под юрисдикцией РФ, а реальными людьми, для которых юрисдикция - это не всегда "обязан", которые имеют слишком много чего сказать и куда послать эту юрисдикцию за 10 тысяч рублей в месяц.
2 Алексей Лукацкий
ОтветитьУдалитьс одной стороны да, этот подход имеет право на существование и в абстрактной стране с корректной организацией всего он правильнее.
С другой стороны я пытаюсь представить как это будет происходить у нас. Например агент Вася ушел с данными в страхового брокера Пупкин и партнеры начал толкать полисы. И допустим кто то пошел в суд с вопросом откуда у Пупкина и партнеров ПДн. Суд по идее накажет Пупкина. Возможно получится доказать, что ПДн принес агента Васю (сложно). Какая должна быть доказательная база, что бы привлечь СК из которой ушли ПДн я не представляю. И получается, что или в текущей нормативной базе (не по вопросам ПДн) привлечь никого нельзя к ответственности, или надо привлекать с явным перегибанием палки или надо менять сразу значительно больше законов.
Так что, КМК, европринцип он возможен у нас, но явно не сейчас, а через пару десятилетий.
Многоголосица мнений ))) Как в Европе. Каждый имеет право на свое мнение и на его отсутствие.
ОтветитьУдалитьВозвращаясь к теме "крайнего" Вашего сообщения в дневнике, Алексей. Тематика прений перешла в область самовыражения, однако содержание и внимание с которым активные и заинтересованные участники процесса обратились к заявленной теме показывает, что Русский Человек жив и бодр.
Все остались при своих. Резюме с моей стороны.
Со времен 12 года ничего не поменялось (1812). Есть те кто говорят на иностранном, есть те кто и не говорят. Но отступать некуда. За нами "Москва". Алексей. Я знаю, Вы ведете большую инициативную работу, организуете множество мероприятий благодаря своему энтузиазму. За одно это Вам низкий поклон. Тем не менее,прошу Вас еще раз попробовать посмотреть в другую - противоположную сторону и попробовать критически осмыслить опыт любимого и образцового Запада. Попытки тиражировать опыт гиены на медведя....приведут к "несварению желудка и скорой смерти от различных заболеваний", как и наоборот.
Тем не менее, всегда приятно и интересно видеть Вас в здравии и бодрости. Так держать. А большую половину постов я вообще не понял. Хоть их и много.