30.7.12

Хотите 100 шаблонов документов по ПДн? Их есть у меня!

Пока я в отпуске, что вам скучать?! Качайте шаблоны документов, которые необходимо разработать по линии персональных данных. Документы в первую очередь закрывают вопросы защиты самих персональных данных (вопросы ФСТЭК), но и про защиту прав субъектов тоже не забывают.

Итак комплект из 48 шаблонов, разработанных Управлением информатизации г.Москвы, и являющихся приложениями к "Методическим рекомендациям органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных". Правда, разработаны они в 2010-м году, но все равно не потеряли своей актуальности.

Но это не все. Еще порядка 100 документов были разработаны Департаментом образования г.Москвы. Основным документом являются "Методические рекомендации для организации защиты информации при обработке персональных данных в государственных образовательных учреждениях города Москвы" на 142 листах. К ним прилагаются 3 инструкции:
А еще куча шаблонов - акты классификации, ответы на запросы субъектов и формы самих запросов, инструкции, положения, журналы учета, приказы и т.д.

Кстати, если вы ищете новые и ранее незапрашиваемые Роскомнадзором документы - "Правила внутреннего контроля" и "Правила работы с обезличенными данными", то по ссылкам вы можете скачать и их. Ну и напоследок - политика в отношении обработки персональных данных.

И теперь у вас не должно быть повода говорить, что вы не знаете, как писать документы, которые запрашивают при проверках регуляторов по вопросам ПДн. Правда, вы должны понимать, что это далеко не все. Помимо разработки самих документов нужно будет провести работы по их адаптации и внедрении в бизнес-процессы организации. При этом очевидно, что никто вас не заставляет внедрить все 100 документов здесь и сейчас. Есть первоочередные документы, есть те, которые нужны во вторую очередь. А есть и вовсе неприоритетные. Но по моему опыту всегда возникает вопрос: "А где взять документы?" Платить миллионы или даже сотни тысяч готовы совсем не все, разбираться самим тоже могут единицы (я с трудом представляю, чтобы журнал учета СЗИ или положение об обработке ПДн составлял какой-нибудь главврач районной поликлиники (ну не медсестре же это поручать) или директор и главбух турагентства в одном лице.

Роскомнадзор на заседании Консультативного совета говорил, что они скоро выложат у себя на сайте и свою позицию по нормам законодательства и, возможно, типовые шаблоны документов, чтобы помочь операторам персданных. Это будет великое дело, которое покажет, что РКН не только готов поднимать штрафы до миллиона и карать невиновных, но и помогать страждущим защитить права субъектов ПДн. А уж если не защитил, то тут и наказание настигнет виноватого. Но пока РКН не выложил ничего на сайт, шаблоны из этого поста будут полезны. Да и в-основном ориентированы они на тему ФСТЭК, а значит сильно хлеб у РКН я не отнял. Да и как можно отнять хлеб у регулятора - они же не продают свои документы...

27.7.12

Немного обо всем, но все по делу

Аккурат перед отпуском писать больших постов на какую-то конкретную тему не буду. Просто несколько заметок.

1. По итогам совещания на тему новых нормативных актов по защите ПДн могу сказать следующее:
  • Проекты Постановлений Правительства уже согласованы со всеми органами исполнительной власти и находятся на согласовании в Аппарате Правительства. Это информация от коллег из ФСБ. От коллег из экспертного сообщества информация немного иная - проекты Постановлений вызывали негативную реакцию в Минкомсвязи и в Аппарате Правительства. Минюст сделал только оформительские замечания (навроде "убрать таблицы и переписать все словами").
  • Из проекта Постановления по уровням защищенности скорее всего исчезнет понятие категории нарушителей - его заменят (предварительно) на уровни угроз. Правда, смысл реально от этого не поменяется. На выходе будут 4 уровня защищенности. При этом, каким-то пока непонятным пока еще способом уровни защищенности будут выводится из класса ИСПДн и перечня актуальных угроз. Я так и не смог себе этого представить.
  • Возможно (тут я уже скорее фантазирую, чем опираюсь на факты), что упомянутый выше уровень угрозы будет опираться на разрабатываемый в настойщий момент документ по моделированию угроз. Это будет то ли методика для федеральных органов исполнительных власти, то ли уже готовые модели угроз. Последнее менее вероятно, но такой вариант тоже озвучивался. Мне он лично нравится больше (проще работать с уже готовым перечнем угроз), но допускаю, что для уменьшения объема работы остановятся на общей методике моделирования.
  • Постановление по требованиям по безопасности ПДн устанавливает некий базовый набор требований для всех уровней защищенности.
  • Детализация требований для каждого уровня защищенности в отдельности будет на уровне ведомственных приказов ФСТЭК и ФСБ.
  • В зависимости от актуальности угроз какие-то требования по защите для уровней защищенности можно будет невыполнять. Коллеги из ФСБ клятвенно уверяли, что так и будет и что это уже заложено в приказ ФСБ. Тут меня, если честно, гложут сомнения. Во-первых, в том варианте приказа, который я видел, никакой привязки к актуальным угрозам не было - обычное перечисление требований применительно к разным уровням защищенности. А во-вторых, я не понимаю, как можно в почти уже принятом ведомственном приказе учесть то, что еще не разработано?.. Ведь методики определения актуальных угроз, как и самого перечня этих угроз еще нет.
2. На совещании прозвучало, что и ФСТЭК и ФСБ категорически против наделения Роскомнадзора полномочиями по проверке технических и организационных мер защиты ПДн, о которых говорится и в административном регламенте РКН и в проекте Постановления Правительства о полномочиях РКН. И РКН не дадут эти поправки провести. Дальше была некоторая дискуссия, суть которой сводилась к тому, что сейчас по мнению ФСБ у РКН нет права проводить проверки технических мер по защите даже с привлечением экспертов (логику РКН уже освещал Алексей Волков). На вопрос, кто же тогда будет проводить проверки коммерческих предприятий, если РКН не может, а у ФСТЭК и ФСБ нет таких полномочий по закону, коллега из ФСБ загадочно улыбнулся. Вот и думай теперь, что значила его улыбка?.. Неужели распоряжение Президента готовится, наделяющее их такими полномочиями?..

3. На bankir.ru коллега поделился успешным опытом прохождения проверки и тем, как она проходила. Позитивно. Правда, меня удивило требование РКН иметь согласие кандидатов на замещение вакантных должностей. По закону-то не надо - ст.6.1.5 - обработка ПДн необходима для заключения договора по инициативе субъекта. Тут вроде как инициатива субъекта на заключение трудового договора. Я уже не говорю про конклюдентное согласие на обработку ПДн в резюме для целей замещения вакантной должности. Кандидат для этого и посылает свое резюме и самим фактом его отправки дает согласие...

4. Ну и напоследок. Евгений Шауро поделился своими впечатлениями от платного семинара ЦБ по НПС, на котором выступал Андрей Петрович Курило. Он перешел из ГУБЗИ в Департамент регулирования расчетов Банка России и отвечает за регулирование ИБ в НПС. В заметке есть интересные моменты и по отчетности, и по будущему СТО, и про наполнение реестра операторов платежных систем, и про многое другое. Также Курило А.П. напомнил, что банкам стоит активнее задавать свои вопросы. Как через АРБ, так и через Интернет-приемную ЦБ (правда, на момент написания этого поста она не работала).

26.7.12

Positive Technologies вошла в список лидеров мирового рынка ИБ

Попался на глаза мне июльский отчет IDC "Worldwide Security and Vulnerability Management 2012–2016 Forecast and 2011 Vendor Shares". В нем впервые была упомянута и российская компания - Positive Technologies, которая стала и первой российской компанией, попавшей в отчет IDC.

Согласно данному отчету Positive Technologies входит в пятерку самых быстро растущих компаний сегмента SVM (Security & Vulnerability Management), а по объему продаж средств защиты даже обошла VMware и Dell.

Также согласно данному отчету Positive Technologies вошла в Top10 компаний сегмента Vulnerability Assessment с долей мирового рынка в 2% (у остальных игроков, кроме одного, доли рынка также меньше 10%).

Кстати, у Positive последний месяц выдался удачным на фразу "первая российская компания". В конце июня система MaxPatrol была официально сертифицирована некоммерческой корпорацией MITRE в качестве CVE-Compatible. И это первый российская компания с таким статусом. А на этой неделе Positive Technologies первой в России получила статус Cisco Registered Developer.

Что можно сказать? Только поздравляю!

ЗЫ. Предвосхищая вопрос, сразу отвечу, что компания S-Terra первой среди российских компаний получила статус Cisco Solution Technology Integrator (STI).

Как бороться с инцидентами в ДБО - советы бывалых

Наверное, многие видели новость о том, что АРБ совместно с Национальным платежным советом разработали "Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента". Проект документа был подготовлен рабочей группой Ассоциации российских банков и НП «Национальный платежный совет» с учетом Письма Бюро специальных технических мероприятий Министерства внутренних дел Российской Федерации (БСТМ МВД России) от 17 января 2012 г. № 10/257. Также в его разработке приняли участие представители Банка России, а также правоохранительных органов (МВД и ФСБ).

Цель рекомендаций - оперативная организация эффективного взаимодействия и принятия процессуальных решений по фактам совершения хищения денежных средств в системах ДБО, а также исполнения требований Положения Банка России от 09.06.2012 № 382-П и Указания Банка России от 09.06.2012 № 2831–У, кредитными организациями и операторами платежных систем.

Как написано в новости, рекомендации содержат довольно подробный перечень необходимых действий, которые должны совершить причастные к транзакции и заинтересованные в ее опротестовании стороны: банк-плательщик, банк-получатель, клиент — физическое лицо, клиент — юридическое лицо. Могу подтвердить, что это действительно так. Та версия, которая попала мне в руки содержит 37 страниц (еще месяц назад их было 29), из которых 20 с лишним - это приложения с формами конкретных документов:
  • Форма заявления плательщика в банк плательщика об отзыве платежа, возврате денежных средств и блокировании доступа к системе ДБО
  • Форма заявления плательщика в банк получателя или к оператору платежной системы о приостановлении платежа и возврате денежных средств
  • Форма письма интернет провайдеру о предоставлении журналов соединений (логов)
  • Форма заявления плательщика (потерпевшего) в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств
  • Форма справки по факту инцидента информационной безопасности в системе ДБО
  • Примерный перечень документов, которые могут быть истребованы у плательщика в случае выявления хищения денежных средств
  • Форма сообщения в банк получателя по системе SWIFT о приостановлении платежа и возврате денежных средств
  • Форма письма банка плательщика в банк получателя или к оператору платежной системы по факту хищения денежных средств
  • Форма объяснения банка плательщика по факту хищения денежных средств
  • Форма заявления банка плательщика в МВД России об оказании содействия в расследовании факта хищения денежных средств
  • Перечень документов в отношении потерпевшего юридического лица и (или) юридического лица, на счет которого неправомерно зачислены денежные средства
  • Перечень документов в отношении потерпевшего физического лица и (или) физического лица, на счет которого неправомерно зачислены денежные средства
  • Образец информационного письма банка плательщика в ФСБ России о факте хищения денежных средств
  • Форма письма о создании экспертной комиссии по проверке подлинности электронной подписи. 

Достойный набор приложений, который будет очень кстати тем, кто задумывается о том, как реализовать требования 9-й статьи ФЗ-161. Кстати, за прошедший месяц, список приложений тоже поменялся в сторону увеличения их числа.

Единственное, о чем рекомендации не говорят, так это о том, что делать, если правоохранительные органы отказываются открывать дела по заявлениям, отправляя пострадавших по подследственности в места снятия денег. Но это, пожалуй, единственное замечание, на которое и ответа-то нет.

25.7.12

Сегодня год новому ФЗ-152. Помянем!

Сегодня ровно год, как была принята новая редакция ФЗ-152 "О персональных данных". Принята несмотря на все действия, предпринимаемые сообществом против именно этой редакции закона (краткое напоминание хроники событий тут, тут, тут и тут). На поминках принято говорить что-то хорошее или молчать. Молчать не буду. Хорошего в законе стало немало - в частности обременения на операторов стали чуть слабее, многие невыполнимые действия из закона убрали, но... добавили ст.18.1 и ст.19, которые не все, но многие благие начинания перечеркнули, добавив новых вопросов к тем, что уже были.

Какие вопросы остались открытыми после принятия ФЗ? Ну, во-первых, где список стран с адекватной защитой ПДн, который должен был быть утвержден Роскомнадзором согласно ст.12.2? Пока его нет. Вроде обещали летом, но... Где обещанное на заседании Совета Федерации, на котором сенаторы принимали закон, финансирование бюджетников? Его тоже так и не появилось. Где оценка затрат на реализацию закона со стороны ФСБ и ФСТЭК, о которой говорили на Совете Федерации? Нет и ее. А мою оценку пока никто так и не смог опровергнуть с доказательствами в руках. Правительство тоже молчит, хотя ему и было дано сенаторами протокольное поручение по вопросу финансовой оценки последствий принятия ФЗ-152.

А что нового произошло за этот год? Наши предложения в Минкомсвязь канули в Лету (но не в компанию, а в реку забвения в греческой мифологии). Из них регулярно поднимается тема изменения КоАП, но финального решения по изменению подхода (от наказания за простое невыполнение требований к наказанию за ущерб) пока не принято. Большинство участников обсуждения сходятся во мнении, что наказывать надо за нанесение ущерба субъектам, а не за простое невыполнение требований ФЗ-152. На заседании Консультативного Совета при РКН звучала та же идея. Возможно к ней и прислушаются. По крайней мере мой пессимизм, озвученный в Twitter, что РКН будет стоять насмерть в части наказания именно за невыполнение требований, был развенчан представителями РКН, который сказали, что рано излучать этот пессимизм - все может быть будет и не так плохо ;-) Посмотрим... Зато принято решение об увеличении сумм штрафов по ст.13.11. Вопрос только в том, будет это пресловутый миллион или удастся снизить эту цифру. Собственно также непонятен перечень правонарушений, которые будут втиснуты в ст.13.11 - при оценке регулирующего воздействия было предложено "расширить и углубить"...

Предложение разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн, также нормально реализовано не было. Не считать же такой реализацией то, что было проделано в отношении проектов Постановлений Правительства. Казалось бы и экспертов привлекали (не всех и не публично) и общественные организации... Но что-то не то получилось в итоге. Большинство предложений экспертов было отвергнуто за нецелесообразностью.

Необходимость разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов, даже обсуждать никто не стал. Также как и предложенную методику оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого.

Идея добавить ответственность за скрытие фактов утечек ПДн субъектов пока не нашла своего отражения ни в КоАП, ни в УК, но я такое предложение еще раз озвучил в рамках Консультативного Совета при РКН по защите прав субъектов ПДн.

Законопроект об урезании полномочий регуляторов по части контроля и надзора по линии персданных не дошел даже до второго чтения. Зато поддержку получил проект Постановления Правительства, который, наоборот, наделяет Роскомнадзор дополнительными полномочиями, например, проводить проверки технических и организационных мер по защите коммерческих компаний (за некоммерческие по ФЗ-152 отвечают ФСТЭК и ФСБ).

19-го августа 2011 года РКН выпустил новый Приказ от 19 августа 2011 г. № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных". Спустя неделю ФСБ опубликовала проект приказа "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных". С тех пор, правда, новостей по данному регламенту я не видел.

11 октября 2011 года ФСБ одобрила стандарт НАУФОР по защите персональных данных "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами-профессиональными участниками рынка ценных бумаг". Хотя ситуация с отраслевыми стандартами сейчас патовая... Никакого статуса у них нет ;-(

Консультационный центр АРБ успел выпустить за это время пять писем с разъяснениями ключевых позиций законодательства. Правда, похоже эта структуру больше не функционирует по техническим причинам ;-( А жаль...

Идея с народным логотипом не оправдала себя - "пивная пробка" так и осталась невостребованной никем. Хотя о добровольной сертификации по вопросу соответствия требованиям ФЗ-152 мы как раз говорили на Консультативном совете при РКН. Представители РКН считают такую идею правильной. Осталось понять механизм ее реализации и применения на практике.

В конце прошлого года был опубликован, а затем и принят новый административный регламент РКН по части проведения проверок операторов ПДн. Попутно и Европа заявила о реформе своего законодательства в области ПДн. Чем это обернется для нас пока неясно, но обсуждения этого вопроса уже идут и стоит готовиться к новым поправкам в ФЗ-152 (правда, не так скоро).

21 марта Правительство утвердило новое Постановление №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами". Зачем оно нужно, я так и не понял, но пусть будет.

ФСБ подготовила новые проекты Постановлений Правительства по установлений уровней защищенности и требований по безопасности ПДн. К ним были серьезные претензии у Аппарата Правительства и Минкомсвязи. Сейчас все вышло на финишную прямую (ну или почти вышло).

На свет вытащили запылившийся законопроект "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных". Ждать от него эффекта не стоит.

А отраслевые ИТ/ИБ-ассоциации как молчали, так и молчат. Выступили только РАЭК, АРБ, РСПП, АРОС... Т.е. те, кто представлял бизнес, которого закон коснулся. А те, кто мог бы предложить конкретные предложения по ст.19, молчат. Жаль...

На ближайшее время запланировано достаточно много движений в части ПДн. В частности сегодня иду на совещание с представителями ФСТЭК и ФСБ по части новых требований по защите ПДн. Потом будет заседание другой рабочей группы по части изучения вопроса о внесении поправок в ФЗ-152. К осени стоит ждать принятия многих упомянутых выше законопроектов, а также принятия новой нормативной базы ФСТЭК и ФСБ. Роскомнадзор обещал выложить на сайт большое обновление по части офииального разъяснения их позиции относительно животрепещущих вопросов обработки ПДн (очень, очень ждем...). А там глядишь и разрулится вопрос с обработкой ПДн в части переводов денежных средств и с новым СТО. Так что жить осенью будет весело... Очень весело. Готовимся...

24.7.12

Когда будет новый СТО БР ИББС?!

Все чаще мне задают этот вопрос и поэтому настало время в какой-то степени удовлетворить всех страждущих и попытаться ответить на него. Но отвечать я буду витиевато. Начну с ретроспективы последних событий, учет которых позволит нам понять судьбу СТО.

Весной Россия избрала Президента. Никаких сюрпризов не случилось. Только учитывая прошлое нашего Президента роль, а главное, влияние, ФСБ изменились; точнее усилились. Последние факты это только доказывают - позиция ФСБ по ПП-313, проекты постановлений Правительства по персданным, законопроект по банкоматам, ну и ряд других не менее значимых, но менее заметных событий. Часть документов уже принята, принятие оставшихся запланировано на ближайшую осень.

Роль Роскомнадзора тоже меняется в сторону (не хочу упоминать термин "карательные функции") усиления влияния. Рост штрафов, увеличение полномочий, расширения спектра задач. Большая часть этих документов готовится к утверждению также осенью.

Еще более серьезные изменения произошли в Банке России. Появилась абсолютно новая нормативная база по Национальной платежной системе. И эта база будет только ширится. Частично 382-П построено на СТО, но есть и некоторые нововведения. Главное, это смена статуса. 382-П обязательно к применению, в отличие от СТО. За его невыполнение существует вполне конкретная ответственность. Но самое главное, что регулирование НПС ушло в Департамент регулирования расчетов (при этом СТО раньше продвигался под эгидой ГУБЗИ). Сейчас основное внимание ЦБ уделяет именно НПС - необходимо обкатать разработанные документы, обновить KliKO, отработать схему приема отчетности, организовать ее анализ и т.д. Раньше чем к концу года это врядли выйдет на накатанные рельсы.

А еще у нас есть PCI DSS и ПП-584, а также ряд иных разработанных или разрабатываемых документов по регулированию финансовой отрасли.

Разномастная картина, не правда ли? И она коренным образом отличается от того, что у нас было еще 2,5 года назад, когда писалась 4-я версия СТО, а потом и "письмо шести". Поменялась не только роль регуляторов. Очень уж много неопределенностей существует на данный момент. Пока непонятно в каком виде будут выпущены Постановления Правительства по персданным (непонятен именно финальный вариант). Еще более непонятно, что нам ждать от требований ФСТЭК и ФСБ по персданным (хотя проекты документов тоже разработаны). Без этих документов, очевидно, разрабатываться новая версия СТО не будет. Разумеется, если рассматривать СТО как единый набор требований для всех видов информации ограниченного доступа, обрабатываемых в кредитной организации (КТ, БТ, ПДн и т.д.). Если же брать только защиту БТ, то есть ли смысл в СТО? Если нет единого унифицированного набора требований, то жить становится грустно ;-( Основным препятствием сейчас является вопрос классификации ИСПДн. В остальном серьезных разногласий практически нет.

Так когда же ждать новой версии СТО БР ИББС? Не могу отвечать за Банк России (и ТК122), но предположу, что в этом году это малореально. Срок разработки составляет около 3-4 месяцев и столько же уходит на согласование с ФСТЭК, ФСБ и РКН (если такая задача будет стоять). Экстраполируя опыт разработки прошлой версии СТО БР ИББС, могу предположить, что если предположить, что документы ФСТЭК и ФСБ будут приняты к концу сенября, то после их изучения в течении месяца, новая версия СТО (в части персданных) будет разработана к февралю-марту, а ее согласование будет не раньше начала лета 2013 года. Это при условии, что все сложится благополучно и не выпывут на поверхность кое-какие косяки и подводные камни.

23.7.12

Обновление программы курса по безопасности НПС

Про свой новый курс по безопасности НПС я уже писал. Собственно теперь пришло время детализировать уже обкатанную единожды программу. Никаких страшилок. Только реальные кейсы, рассмотренные с разных сторон с оценкой вероятности движения по тому или иному сценарию.

Программа однодневного семинара такова:
  1. Изменение акцента в регулировании - в прицеле НПС
  2. Регулирование отрасли переводов денежных средств
    • ФЗ-152, ISO 27xxx, СТО БР ИББС, PCI DSS и НПС
  3. Парафраз об СТО
    • Структура СТО
    • Развитие СТО и регулирования ИБ банков
    • Место ABISS в старом и новом регулировании
    • Почему СТО не хватает (мобильные платежи, NFC, сервис-бюро и т.д.)?
    • Место и прогнозы развития СТО БР ИББС в контексте НПС?
  4. Введение в Национальную платежную систему?
    • Предыстория появления
    • Основные определения 
    • Виды безналичных форм переводов денежных средств
    • Участники НПС
      • Кто есть кто на самом деле?
      • Можно ли иметь несколько ролей одновременной?
      • Рассмотрение типичных ситуаций
    • Платежные системы в России - краткий обзор
    • Кто подпадает под требования НПС 
    • Платежная инфраструктура 
    • Электронные денежные средства
    • Будущее НПС
    • Кто отвечает за регулирование безопасности в НПС со стороны Банка России?
  5. ФЗ-161 и его влияние на информационную безопасность
    • Новые риски мошенничества по ФЗ-161
    • Информирование клиента о платежах 
    • Позиция Банка России о порядке информирования клиентов
    • Как сделать правильно и незатратно
  6. Иерархия требований по информационной безопасности
    • ФЗ-161
    • Постановление Правительства № 584 "О защите информации в платежной системе"
    • Положение Банка России 382-П
    • Указание Банка России 2831-У
    • Положение Банка России 381-П
    • Положение Банка России 380-П
    • Иные нормативные документы Банка России по информационной безопасности
  7. ПП-584
    • Обязательные требования
    • Лицензирование деятельности по ТЗКИ
    • Оценка соответствия средств защиты
    • Контроль и надзор со стороны ФСТЭК и ФСБ
  8. Триада  "риски - бесперебойность функционирования - безопасность"
    • Прогнозы будущего регулирования НПС в контексте триады
    • 379-П и другие нормативы Банка России по бесперебойности функционирования НПС
  9.  382-П
    • Что защищаем?
    • Детальный анализ требований 382-П
    • Отличия от СТО БР ИББС
    • Применение СКЗИ в контексте 382-П
  10. Оценка соответствия по вопросам ИБ в рамках НПС
    • Методика оценки соответствия 
    • 2831-У
    • Формы отчетности: как, когда и в каком формате? Что писать в отчетах?
  11. Персональные данные при переводе денежных средств: как защищать?
  12. Наказание за неисполнение ФЗ-161 и подзаконных актов
  13. Контроль и надзор в области защиты информации в НПС
    • Права и обязанности ФСТЭК
    • Права и обязанности ФСБ
    • Права и обязанности Банка Россиипо 380-П и 381-П

Будущее регулирования НПС

Сейчас много говорят о регулировании НПС и о требованиях по ее безопасности, реализованных как в 379-П, 380-П, 381-П, 382-П, 383-П и 384-П, так и в массе других документов ЦБ, которые пусть и не относятся прямо к НПС (хотя бы по сроку своего выхода), но регулирующих те или иные вопросы обеспечения ИБ в банковской среде. Кто-то думает, что это временно, кто-то потирает руки в предвкушении доходов от продаж своих средств защиты под соусом "сертифицировано для НПС" (как это делают некоторые западные и российские вендоры с ФЗ-152). А мне хотелось бы посмотреть чуть дальше сегодняшнего и даже завтрашнего дня и взглянуть на НПС лет через пять. Это не так уж и невозможно, если смотреть не только одно-два положения Банка России, а изучить всю нормативную базу по НПС и подходы ЦБ к регулированию рынка платежных систем в России. Картина будущей российской НПС выглядит следующим образом:


Сегодня, если внимательно изучить нормативную базу, документы ЦБ регулируют по сути только деятельность банков на основе корреспондентских отношений, платежную систему Банка России и трансграничные переводы (но не в контексте ИБ). Платежные карты, ДБО, банкоматы (частично покрываемые 382-П), электронные деньги, платежные сервисы, мобильные платежи, рынок ценных бумаг, SWIFT, CLS... Для всего этого пока нет даже основополагающей нормативки, не говоря уже о нормативах по информационной безопасности.

Так что можно себе представить, что ждет и разработчиков нормативных документов и тех, кому эти документы придется внедрять на практике.

20.7.12

Сколько наборов требований по ИБ ложится на банки после выхода требований по НПС?

На такой простой, казалось бы, вопрос, и ответ должен быть простой. Один, скажет большинство, имея ввиду новое положение Банка России 382-П (плюс 2831-У). Кто-то скажет, что два, имея ввиду еще и СТО БР ИББС. А сколько на самом деле? Гораздо больше.

Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным системам у нас подключается обычный банк? К БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим и т.д. И оператор каждой из них может установить свои требования как это делает Visa/MasterCard через PCI Council. Собственно пример с PCI DSS хорошо это иллюстрирует - оператор платежной системы установил собственные требования по защите.

Но это не все. Какие требования устанавливает Банк России по безопасности тех, кто подключается к его платежной системе? 382-П, скажете вы и будете не правы ;-) Открываем 384-П от 29.06.2012 "О платежной системе Банка России". П.1.4 и 1.6 говорят, что "Банк России определяет порядок обеспечения защиты информации в платежной системе Банка России для клиентов Банка России в соответствии с требованиями к защите информации, установленными договором об обмене электронными сообщениями, заключаемым между Банком России и клиентом Банка России". Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполне возможно, что требования по ИБ в нем базируются на СТО, но все-таки отсылка идет на совершенно иной набор требований, который устанавливает оператор платежной системы.

Все? Нет. А про ст.27.1 ФЗ-164 вы не забыли? Согласно этой статье требования по защите устаналивает Правительство России, которое и сделало это в виде ПП-584. Оно пусть и не детальное, но его требования немного отличаются от требований 382-П. Например, в части приглашения фирм, которые будут проводить контроль соответствия. По ПП-584 это может быть только лицензиат ФСТЭК, а по 382-П - любая организация, в т.ч. и не обладающая лицензиями на деятельность по ТЗКИ.

Все? Опять нет. Почти любой денежный перевод включает в себя персональные данные, которые, по мнению традиционных регуляторов (ФСТЭК, РКН и ФСБ), защищаются не по 382-П и даже не по ПП-584, а по ФЗ-152 и его подзаконным актам.Ну теперь-то все? Ну если не рассматривать некоторые банки, на которых ложатся требования по КВО, и требования необязательных ISO 27xxx, то да.

Подытожим. 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования платежных систем. Ничего не напоминает? Именно в такой ситуации банки были после выхода требований по персданным и именно такое (чуть меньше) количество нормативных требований (ФСТЭК, ФСБ и РКН) послужило причиной включения в СТО БР ИББС требований по персданным, согласование 4-й редакции СТО с регуляторами и выпуск "письма шести", гласившего, если вкратце, что банки, подписавшиеся под СТО, будут проверяться только по СТО, а не по набору разных требований регуляторов.

Мне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процентов на 80-90, требования всех упомянутых нормативов совпадают. Может пора опять принять "письмо шести", чтобы не обременять банки (да и других участников НПС) дополнительными затратами; в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бы всем и особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки ;-(

19.7.12

Впечатления от заседания Консультативного совета РКН по Пдн

Пока Совет Федерации почти единогласно принимал закон о "черных списках" (кстати, обратите внимани, я заголовок блога привел в соответствие с законом), Роскомнадзор проводил первое заседание обновленного Консультативного Совета, созданного в соответствии с ч. 9 ст. 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".

Так случилось, что в состав Совета вошел и я, как активный эксперт по вопросам ПДн.Как написано на сайте РКН, произошло сокращение численности Совета почти в два раза за счет перераспределения компетенций его участников. В совещательный орган вошли 20 представителей общественных организаций и профессиональных ассоциаций, а также органов власти. При этом центр тяжести сместился в сторону независимых общественных деятелей – от государства осталось всего восемь представителей.

Правда, из этого списка на первом заседании многих не было. Представители АЗИ и МИДа были в отпуске, сенаторы принимали закон о черных списках и клевете, а депутат Железняк уехал на телевидение защищать также закон о черных списках. Поэтому заседание прошло в тихой и спокойной обстановке. На повестку вынесено было 3 вопроса - переизбрание председателя и его заместителя, определение планов работы на год и обсуждение законопроекта об увеличении наказания за несоблюдении требований ФЗ-152.

С первым вопросом решили все быстро. Со вторым отложили на следующее заседание, попутно решив собрать мнения участников о том, что надо рассматривать в первоочередном порядке. А вот по третьему вопросу ситуация оказалась интересной.

Во-первых, законопроект поменяли в сторону дифференциации составов правонарушений. Добавились статьи за отсутствие согласия (с ущербом и без него, с рецидивом и при получении дохода от обработки ПДн без согласия), незаконную обработку спецкатегорий ПДн и за нарушение порядка трансграничной передачи ПДн. Ну а основная статья 13.11 осталась такой же. Суть ее проста - оператор ОБЯЗАН выполнять требования ст.18, 18.1 и 19 ФЗ-152. И вот за невыполнение этих статей и надо наказывать рублем, иначе никто и дальше не будет заниматься темой ПДн. Иными словами, желание оставить наказание даже при отсутствии ущерба для субъектов - вполне осознанное. На Совете (не от РКН) звучала идея привязать штрафы к числу пострадавших субъектов, но ее быстро отмели.

Ну а дальше началось то, что вызвало у меня двойственное ощущение от Совета. С одной стороны мне, безусловно, приятно включение в состав этой организации, что позволяет надеяться на то, что мое мнение будет услышано. С другой, складывается впечатление, что Общественные и Консультативные советы нужны только для того, чтобы придать уже принятым по сути решениям видимость наличия независимой оценки общественными организациями. Это, кстати, тоже занесу в плюс - понимать как работают такие советы тоже полезно. Но я все-таки надеюсь, что мое впечатление обманчиво и к мнению участников все-таки прислушаются и, что самое главное, учтут.

Только приступив к обсуждению законопроекта, один из участников уже стал посматривать на висящие в зале заседаний часы, намекая, что два часа для заседания - это много и надо закругляться. В итоге пройдя по трем статьям КоАП, мы до трансграничной передачи так и не дошли. А она, на мой взгляд, наиболее взрывоопасна, т.к. нарушение установленного порядка трансграничной передачи - это по сути еще одна попытка давления на социальные сети, блоги, облака и т.п. Порядок-то, по сути, не установлен. Кстати, 2 часа на заседание - это еще одно открытие для меня. Я думал, что такие советы собираются чаще. Правда, от Павла Сундеева из МТС прозвучала идея между собраниями вести онлайн-общение и РКН обещал такую возможность реализовать, но по некоторым репликам я понял, что не все готовы активно работать между заседаниями (надеюсь, что я ошибаюсь). 4 квартальных заседания по 2 часа - вот и все, что выделяется Консультативному совету. Буду надеяться, что удастся и эти 8 часов использовать плодотворно.

Но вернемся к законопроекту. Финал обсуждения и вызвал двойственность впечатления. Всеми правдами и неправдами из участников Совета "вырвали" из уст согласие с законопроектом "в целом". Мне кажется, что именно ради этих слов, попавших в протокол заседания, все и затевалось (подтвердить это можно будет после выхода финальной редакции законопроекта или уже самого закона). Я могу повторить свою позицию, высказанную на заседании. Я не против увеличения штрафов за нарушения ФЗ-152, но при наличии двух условий. Первое. Наказывать надо за нанесенный ущерб, а не за невыполнение невыполнимых многими условий. Второе. Прежде чем вводить наказание надо сделать все, чтобы у операторов ПДн не было даже мысли о карательности РКН. А такие мысли появляются в условиях, когда регулятор не говорит, КАК надо выполнять те или иные требования? Когда оператор вынужден один на один с законом пытаться понять, что имелось ввиду под тем или иным требованием? Когда оператор не будет тратить миллионы на то, что могло бы быть разработано и выложено в качестве шаблонов на сайте РКН. Вот тогда можно ужесточать наказание за невыполнение требований (в Европе сделано именно так).

На такую мою позицию коллеги из РКН, участвующие в Совете, ответили, что критику разделяют и делают все, чтобы такого мнения о "карательности" РКН не было; что проводятся регулярные совещания с территориальными органами и им доносится правильная позиция и готовятся разъяснения. В частности, до терорганов должна быть вскорости донесена позиция, то для обработки сведений о ближайших родственниках в Т-2 согласия брать не нужно. Если я правильно понял, то речь идет об исключении ст.6.1.1 (обработка ПДн необходима для выполнения возложенных законодательством на оператора ПДн обязанностей). Это позитивно, что центральный аппарат проводит такие разъяснения для территоральных органов. Главное, чтобы такие разъяснения появились и на сайте РКН для операторов ПДн - РКН обещал подумать над этим.

Собственно на этом заседание и закончилось. В течение недели члены совета должны отправить свои предложения по планам работы на год и замечания по законопроекту.

18.7.12

Cisco покупает Virtuata

Давно что-то не было на небосклоне ИБ слияний и поглощений и вот дождались ;-) Cisco покупает Virtuata, частную американскую компанию Virtuata, занимающуюся технологиями безопасности виртуализированных сред. Детали сделки не разглашаются. Информации по самой Virtuata в Интернет тоже немного. Единственное, что более менее адекватное удалось найти - это упоминание, что Virtuata сотрудничает с Citrix. В итоге получается, что решение Virtuata должно пополнить портфолио Cisco Virtual Security Gateway, уже существующее для сред VMware и Hyper-V.

17.7.12

Новый законопроект ФСТЭК по защите госорганов и критически важных объектов

На сайте ФСТЭК очередной законопроект. Теперь о внесении изменений в трехглавый ФЗ-149 "Об информации, информационных технологиях и защите информации", основополагающий закон по нашей тематике, незаслуженно забытый и вспоминаемый только вместе с законом о "черных списках" и т.д. Однако с точки зрения информационной безопасности в 149-ФЗ изменения вносились давно и поэтому новые поправки ФСТЭК интересны тем, в каком направлении движется регулятор.

А направлений собственно два - госорганы и критически важные объекты (КВО), которые должны защищаться в соответствие с новыми ст.16.1 и 16.2 законопроекта. Что характерно никаких закручиваний гаек и нововведений в законопроекте нет (хотя терминологически там есть, где поработать) - все то, что и так давно известно или было известно. Госорганы обязаны защищать государственные информационные системы и государственные информационные ресурсы, а требования по этой защите устанавливает ФСТЭК и ФСБ в пределах своих полномочий. Собственно про готовящиеся новые требования со стороны ФСТЭК я уже писал - они придут на смену СТР-К и должно это произойти (если пойдет успешно) к концу этого - началу следующего года.

Новым выглядит ст.16.2 по защите критически важных объектов, но в целом это направление внимания регуляторов предполагалось давно. Во всех странах мира КВО, даже находящиеся в частных руках, наъодятся под пристальным контролем государства. Это и зафиксировано в законопроекте. В остальном идея та же - есть ряд мероприятий, которые необходимо выполнить в КВО с точки зрения ИБ, а ряд требований по защите устанавливает ФСТЭК и ФСБ. Правда, учитывая недавний документ Совбеза по защите АСУ ТП, участие ФСТЭК под вопросом, но вполне возможно, что ситуация и не такая патовая, как кажется. В конце концов у ФСБ нет ни документов, ни опыта по работе с ключевыми системами информационной инфраструктуры (КСИИ); в отличие от ФСТЭК.

Текст законопроекта нефинальный (как это часто бывает с законопроектами) и находится в процессе согласования с Аппаратом Правительства и федеральными органами исполнительной власти, завязанными на данную тематику.

16.7.12

Сколько CERTов в России?

После появления новости о появлении в сети сайта gov-cert.ru в Facebook и в Twitter началось активное обсуждение этого вопроса. Что можно добавить к этой теме? Ну во-первых, Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации(GOV-CERT.RU) создан 8-м центром ФСБ, о чем они рассказали на заседании в АДЭ на прошлой неделе. На основное высказывание, что ФСБ не могло предложить PGP для переписки с ними могу заметить следующее. PGP - это некий стандарт де-факто при общении с CERTами/CSIRTами по всему миру. А во-вторых, что можно предложить использовать в качестве альтернативы? Причем альтернативы бесплатной и не имеющей проблем с совместимостью? Допустим, предложила бы ФСБ использовать КриптоПро. А если у госоргана, пострадавшего от инцидента, стоит Инфотекс? Или они используют СигналКом? Или еще что-то сертифицированное и на ГОСТе? Есть ли уверенность, что все эти продукты совместимы? Нет. Поэтому PGP - это нормальный выбор. Никого же не смущает, что ФСБ в своей Веб-приемной принимает через Интернет заявки с персональными данными без какой-либо их криптографической защиты противореча своим же собственным требованиям по обязательному применению шифрования при передаче ПДн через Интернет ;-)

Но GOV-CERT.RU не единственный, кто занимается реагированием на инциденты. Согласно последнему отчету ENISA со списком всех европейских CERT'ов в России таких организаций (исключая новый GOV-CERT) всего три - CERT-GIB, WebPlus ISP и RU-CERT. Первый из тройки был создан совсем недавно. Его основатель - компания Group-IB. B этот CERT - сугубо частный центр реагирования, обслуживающий сторонние организации, а также претендующий на звание "прогосударственного", т.к. именно с ним Координационным центром национального домена сети Интернет было заключено соглашение о противодействии киберугрозам в доменах .RU и .РФ (наряду с подразделением Лиги безопасного Интернета -  фондом "Дружественный Рунет").

Webplus ISP CERT занимается обслуживанием только собственных ресурсов, а вот RU-CERT, претендуя на звание национального CERTа, все-таки таковым не является. Хотя он является первым центром реагирования в России. Я помню мы в АДЭ эту инициативу РОСНИИРОСа обсуждали много лет назад (очень много, т.к. я не помню, было это еще до смены работы или уже после). Однако за эти годы RU-CERT никакой активности не проявлял и я о ней не слышал (хотя это не доказывает, что ее не было). RU-CERT пишет у себя на сайте, что он входит в международные объединения CERTов - FIRST и Trusted Introducer, являясь точко контакта от России. Хотя это не совсем верно. RU-CERT - единственный, кто от России пока входит в FIRST, но неединственный, кто входит в Trusted Introducer - CERT-GIB и Webplus ISP тоже туда входят ;-) Разница только в том, что RU-CERT имеет статус аккредитованного, а CERT-GIB и Webplus просто в списке CERT'ов. Но на работу это никак не влияет.

Итого, пока весь мир знает только 3 российских CERT'а. Еще один (GOV-CERT.RU) в процессе формирования. С ним правда много неясностей. Телефон почему-то мобильный указан (хотя это и некритично). Реагируют они только с 9.00 до 18.00 (наверное время московское) и только в рабочие дни. Домен у них зарегистрирован на "Р-Альфу" (бывшая "Релком-Альфа"), которая владеет и RU-CERT'ом. Ну да ладно, они в начале пути. Думаю, что у них получится.

А скоро в России может появиться и еще один CERT. АРСИБ создает такую структуру. Правда непонятно, на кого он будет ориентирован. То ли это локальный центр мониторинга угроз будет, то ли центр распространит свою работу на страны СНГ... Ждемс...

ЗЫ. Кстати, CERT - это торговая марка Университет Карнеги-Меллона (они первый создали CERT/CC) и чтобы ее использовать необходимо получить соответствующее разрешение, которое в России получил только CERT-GIB.

13.7.12

Законопроект по наказанию за невыполнение требований по защите информации

Сегодня за невыполнение требований по защите информации существует только административная ответственность по ст.13.12 КоАП (если не рассматривать ст.274 УК РФ и различные "смежные" статьи). В этой статье из 5 частей предусмотрены следующие составы преступления:
  • Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну)
  • Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)
  • Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну
  • Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну
  • Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).
ФСТЭК у себя на сайте позавчера выложила проект закона, который вводит новые составы правонарушения и новые наказания:
  • Нарушение обязательных требований к защите информации (за исключением информации, составляющей государственную тайну)
  • Нарушение обязательных требований к защите информации, составляющей государственную тайну.
Сумма штрафа на юрлиц - 15 и 20 тысяч рублей соответственно.

Мотивация появления такого законопроекта тоже понятна. Сейчас вас можно наказать только за нарушение лицензионных условий или применение несертифицированных средств защиты. С обязательной сертификацией средств защиты вопрос очень непрост, от лицензирования всех и вся ФСТЭК отказывается. За что наказывать? Вот и появляется новый состав преступлений, под который попадает невыполнение требований по защите НПС, персданных и т.п. Правда, штраф очень незначителен - не приведет он к росту числа компаний, которые будут реализовывать требования по защите. РКН в этом плане был более глобален, установив сумму штрафа за нарушение законодательства по персданным в 1 миллион рублей.

12.7.12

ФСБ будет рулить банкоматами и кассовыми аппаратами


Существует такой Федеральный закон от 22 мая 2003 года №54-ФЗ "О применении контрольно-кассовой техники при осуществлении наличиных денежных расчетов и (или) расчетов с использованием платежных карт". В целом ничего сверхествественного в нем нет - он просто устанавливает требования к кассовым аппаратам, банкоматам и платежным терминалам, применяемым на территории России.

И вот Правительство решило внести в этот ФЗ поправки. И основная из них описана в пояснительной записке к законопроекту. "Для усиления защиты экономических интересов Российской Федерации, контроля со стороны государственных органов за деятельностью в сфере разработки, производства и обслуживания контрольно-кассовой техники на ФСБ России возлагаются полномочия по изготовлению и применению мастер-ключей, а также по взаимодействию с налоговыми органами".В ст.7 ФЗ вносится новый, 4-й пункт, который и определяет полномочия ФСБ в части установления требований к мастер-ключам, порядку их изготовления и применения. Правда, что такое мастер-ключ в законе не определено.

В отличие от специалистов ФСБ, я небольшой эксперт в области кассовых аппаратов и поэтому у меня возникает вопрос. Если за мастер-ключи будет отвечать Лубянка, то какая криптуха будет разрешена на банкоматах, платежных терминалах и других видах ККМ? Неужто только ГОСТ? А все остальное? Опять решать в частном порядке?

Желание государства контролировать налично-денежный оборот понятно. Но причем тут ФСБ? Нам мало Минфина, Финмониторинга, Росфиннадзора, налоговой и ЦБ? Вот ведь блин. Иногда и хочется понять ФСБ и разделить их заботу по национальной безопасности, но в последнее время все чаще задумываешься о том, что они превращаются в очередной КГБ с огромным количеством функций, не всегда имеющих прямое отношение к безопасности.

11.7.12

Совет безопасности определил как будут защищать АСУ ТП

4 июля на сайте Совета Безопасности появился примечательный документ - "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации". Как написано в преамбуле, эти "основные направления" разработаны в целях реализации основных положений Стратегии национальной безопасности Российской Федерации до 2020 года, в соответствии с которой одним из путей предотвращения угроз информационной безопасности Российской Федерации является совершенствование безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации.

Что можно сказать про документ? Он достаточно грамотно написан - беглый анализ показывает, что в нем охвачены все ключевые темы, в т.ч. и требования к разработчикам АСУ ТП, что является некоторым ноу-хау для наших регуляторов, ранее не сильно озабоченных требованиями к разработчикам прикладного ПО. Видимо характер регулируемой темы и засилье западных решений заставляет пересмотреть сложившуюся практику.

Говорится и о единой государственной системе обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов - централизованной, иерархической, территориально распределенной структуре, включающей силы и средства обнаружения и предупреждения компьютерных атак, а также органы управления различных уровней, в полномочия которых входят вопросы обеспечения безопасности автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры. Чем это напоминает американскую IDSNet - глобальную систему обнаружения атак на государственные информационные ресурсы США. В России, кстати, аналог такой системы тоже есть.

В документе СовБеза признается наличие практики осуществления иностранными фирмами технического обслуживания и удаленной настройки автоматизированных систем управления КВО в целом или их составных частей, а также телекоммуникационного оборудования, входящего в состав критической информационной инфраструктуры, а также стремление организаций - разработчиков программного обеспечения автоматизированных систем управления КВО к снижению издержек и, как следствие, использованию типовых решений и заимствованного программного обеспечения. Среди других негативных факторов названы:
  • сложившаяся среди операторов и владельцев информационных систем, в состав которых входят автоматизированные системы управления КВО, тенденция сокрытия попыток или фактов нарушения их штатного функционирования
  • вынужденное привлечение при создании автоматизированных систем управления КВО иностранных фирм - производителей и поставщиков программно-аппаратных средств обработки, хранения и передачи информации и применение зарубежных программно- аппаратных решений, создающих предпосылки для возникновения технологической и иной зависимости от иностранных государств .
Направлений решения данной задачи выделено 5 - от госрегулирования и совершенствования нормативной базы до промышленной и научно-технической политики, фундаментальной и прикладной науки и повышения квалификации кадров. Дальше документ детально раскрывает эти направления. Там все тоже грамотно. Хотя некоторые пункты вызывают вопросы именно в части реализации. Я, например, хотел бы знать, как будет формироваться в общественном сознании нетерпимость к лицам, совершающим противоправные деяния с использованием информационных технологий.

Ну и про пошаговость реализации всех мероприятий тоже не забыто - все разбито на 3 этапа, до 2020 года.

Еще, на что я обратил внимание, из документа исчезло упоминание ФСТЭК вообще. Основным регулятором и координатором названа ФСБ. По ходу упоминаются некие "иные федеральные органы исполнительной власти, осуществляющие деятельность в области безопасности, органы государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры". Под них ФСТЭК может быть (и скорее всего) попадает, но сделано это как-то вскользь. Такое впечатление, что между ФСТЭК и ФСБ пробежала черная кошка. Если еще совсем недавно, в документах по НПС и по персданным, оба регуляторы перечисляются в одном ряду, то в документе СовБеза ФСТЭК незаслуженно оставлена в стороне. И это несмотря на то, что именно у ФСТЭК есть очень достойные документы по безопасности критических инфраструктур.

ЗЫ. Кстати, на кого будут распространяться эти требования, можно понять вот тут.

10.7.12

Скандал с взломом почты Навального в контексте ИБ

Все слышали про взлом хакером Hell почты Навального. Если не рассматривать это событие с точки зрения "симпатизирую или нет Навальному" и если верить тому, что пишет сам Hell про это, то взлом проявил ряд интересных вопросов именно с точки зрения информационной безопасности. И речь не о том, что электронная почта, да еще и на бесплатном сервере, гарантирует конфиденциальность. Речь пойдет о другом.

Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения информации ограниченного доступа в полной мере подпадают под состав преступления, предусмотренный статьей 183 УК РФ. Я, конечно, не судья, но в УК четко написано, что "собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом" карается. Действия подельников Навального их Ernst & Young, Администрации Президента или иных источников получения информации подпадают под действие 2-й части той же статьи - "незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе". И судя по переписке и Навальный и его помощники понимали, что делают они незаконные вещи. Даже несмотря на благие намерения.

Второй вопрос, который возникает, изучая это дело, - репутация. Если верить Hell'у, то один из источников инсайдерской информации для Навального, находился в Ernst & Young - одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой. Финансовый аудитор EY сливала конфиденциальную информацию Навальному в нарушение всех подписанных правил об обеспечении конфиденциальности и безопасности. И удар по репутации EY это наносит колоссальный. По мнению некоторых экспертов это может привести и к некоторому оттоку клиентов к конкурентам из большой четверки. Это тот редкий случай, когда инцидент ИБ напрямую влияет на репутацию компанию и достаточно легко просчитывается через некоторое время (число клиентов до и после инцидента). Сегодня настают времена, когда службам ИБ надо просчитывать свои действия и бездействия и с точки зрения ущерба репутации.

Третье. Казалось бы, утечка из EY должна показать важность DLP-решений. Но это только на поверхности. Арина Тюрина (злополучная аудитор EY) сливала данные с iPhone (история умалчивает корпоративное это было устройство или личное). И какое DLP-решение смогло бы решить эту задачу? Причем не только с точки зрения технологической, но и с точки зрения настройки. Вопрос Навального: "Можете посмотреть сколько установок в настоящий момент у них как эксплуатируемые числятся?" Ответ Тюриной: "По 08 счету числится вроде (!) одна. Сдают в лизинг". Как надо было настроить DLP, чтобы поймать эту переписку, даже если бы речь шла об отправке почты через корпоративную почту?


Фигурирование в деле iPhone в очередной раз поднимает вопрос не только в правильном моделировании угроз, но и вообще в необходимости внедрения BYOD на предприятии. Непростой это вопрос и чтобы принять по нему решение необходимо все серьезно взвешивать. Вопрос не столько в технологической возможности подключать личные устройства к корпоративной сети, сколько в рисках и преимуществах, которые такое подключение несет. А если предположить (вполне, кстати, обоснованно), что iPhone Тюриной вообще не был частью корпоративной сети EY, а его просто использовали для пересылки информации, которую финансовый аудитор видела перед своими глазами. И как бороться с этой угрозой, если не рассматривать вариант запрета приноса в офис мобильных устройств? Непростой вопрос.

Ну и напоследок. Пресловутый человеческий фактор. Финансовый аудитор в одной из крупнейших мировых компаний. Сотрудница Управления делами Президента России. Непоследние люди. И врядли бедные, сливающие информацию за денежку. Речь идет о совершенно иной мотивации, которую нельзя сбрасывать со счетов, строя свою стратегию в области информационной безопасности. Таких людей, у которых немаленькое положение и достаточно неплохая зарплата, сложно запугать карами небесными. Ими движет идеология (примерно также действовали Anonymous и Lulzsec), а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом. Но опять же не путем запугивания и подписания кучи запрещающих бумажек, а именно с точки зрения разъяснения всех аспектов (включая и уголовно наказуемое деяние) утечек. Нужна полноценная программа повышения осведомленности сотрудников компании по вопросам ИБ.

Резюмируя, хочу отметить, что данный инцидент хорошо проиллюстрировал, что информационная безопасность - это не только и не столько технологическая задача, сколько сбалансированная система, включающая и технологии, и работу с персоналом, и психологию, и оргвопросы, и юридическую проработку, и множество чего еще. Рассчитывать только на одну составляющую - значит гарантировать повторные успешные попытки слива конфиденциальной информации.

9.7.12

Почему я иногда понимаю ФСТЭК и ФСБ ;-)

Пост в Твиттере вызвал живейший отклик и там и в Facebook, поэтому решил раскрыть тему чуть шире ;-) Итак, в одном печатном издании для наших силовиков опубликована статья одного из лидеров (и пионеров) отечественного рынка ИБ, посвященного теме построения защищенных ЛВС для органов госвласти. В статье рассказывается как решить классическую проблему защиты сведений, составляющих гостайну на предприятии. Традиционно она решалась (и решается до сих пор) "просто" - в режимных помещения устанавливаются АРМы, на которых разрешено вести работу именно с гостайной и ничего более. Безусловно неудобно. Безусловно не хочется ходить в секретную комнату для работы с гостайной. Безусловно не хочется иметь два рабочих места для обработки конфиденциалки и гостайны. А что делать?

Авторы статьи предлагают с помощью двух своих программных продуктов - межсетевого экрана и СЗИ от НСД решить эту проблему кардинально. По мнению авторов именно эти два решения позволяют:
  1. Обрабатывать категорированную информацию (гостайну) на своем рабочем месте без необходимости наличия выделенных режимных помещений.
  2. Отказаться от ежедневного общения с режимным отделом и получении/сдачи носителей для хранения сведений, составляющих гостайну.
  3. Разрешить ввод и обработку на одном и том же АРМе несекретной и секретной информации.
По мнению авторов "Основное ноу-хау состоит  в настройке сертифицированных СЗИ и в конфигурации АРМ пользоваталей", а это в свою очередь позволяет "любому РСО сделать однозначный вывод о том, что средства автоматизации не являются носителями секретной информации". Правда, потом дается противоречащая всему остальному рекомендация "чтобы окончательно исключить нарекания РСО, все помещения, в которых ведется обработка, делаются режимными", но это уже мелочи ;-)

Я достаточно регулярно критикую ФСТЭК и ФСБ за то, как они регулируют область ИБ в России. Но видя такие перлы, я понимаю регуляторов и их желание позакрывать все, всех заставить получать лицензии, а специалистам иметь соответствующее повышение квалификации. Но и решение тоже лежит на поверхности. Пора обновлять СТР-К и СТР с учетом новых технологий, используемых в госорганах, и с учетом новых тенденций в обработке информации ограниченного доступа (разумеется с поправкой на уровень ее секретности). Да и требования по сертификации таких решений тоже надо обновлять и расширять (сейчас ФСТЭК активно эту тему стала осваивать, выпуская новые РД с требованиями к средствам защиты).

ЗЫ. А продавцов компаний-лицензиатов я бы обязал сдавать простой экзамен (можно онлайн) на знание основ регулирования ИБ в госорганах. Это бы позволило снять ряд проблем, включая и те, что описаны в упоминаемой выше статье. В некоторых компаниях-производителях такой подход применяется при получении статуса партнера.

UPDATE: Оказывается в статье не указано два важных момента, точнее три. В статье речь идет о КОНКРЕТНОМ решении для КОНКРЕТНОГО заказчика (хотя об этом ни слова). Также ни слова и о том, что разговор идет о бездисковых рабочих станциях и за скобками остается вопрос с защитой от утечек по техническим каналам, который решается традиционными средствами. И именно на это РЕШЕНИЕ в КОНКРЕТНОМ случае дано добро регулятора.

6.7.12

Повлияло ли вступление в ВТО на регулирование рынка ИБ?

Анализировал я вчерашние цифры и пришел к выводу, что хочешь-не хочешь, а ВТО повлияло на рынок ИБ в России и не в лучшую сторону. По идее, вступление в Всемирную торговую организацию должно было повлиять только на ввоз тех или иных продуктов. По "нашему" направлению такими продуктами могли считаться только шифровальные средства, но... Дело в том, что по правилам ВТО в части ввоза криптографии мы уже живем не первый год, а точнее с 1-го января 2010-го года, когда изменились правила ввоза товаров на территорию Таможенного союза. А правила эти были сильно гармонизированы с правилами ВТО. Но раз ничего не должно было поменяться, то что может объяснить просто взрывной всплеск разработки новой нормативной базы в части обеспечения ИБ?

Гипотеза проста. Наши компетентные органы, основной идеей которых является национальная безопасность, опасаются, что с вступлением в ВТО мы можем наткнуться на множество подводных камней, которых сейчас на поверхности просто не видно. И чтобы к моменту официального вступления (а ратифицировать протокол мы должны до 20-х чисел июля) мы уже были во всеоружии, и начала была в прошлом году эта эпопея с ужесточением внутреннего регулирования ИБ.

Ведь как было раньше? Внутри делай что хочешь (немного утрируя), но ввозить средства защиты можно было только под постоянным контролирующим оком спецслужб. Не нравится - ввезти не дадут. Сейчас ситуация аналогичная, но... вступив в ВТО, могут проявиться новые силы, и гораздо более серьезные, чем раньше. А вдруг правила ВТО поменяют и заставят всех членов и СЗИ ввозить без ограничений? Надо подстраховаться. Не вступать не получится - и так столько лет тянули. Что остается? Внутреннее регулирование, т.е. установление правил для использования средств защиты и построения систем защиты.

И цифры доказывают этот факт. Хотя надо признать, что гипотеза эта может быть и неверной и причина роста числа НПА по ИБ лежит совершенно в другой плоскости. Кто знает?...

5.7.12

Обновление статистики по нормативке в области ИБ

Чтоб блог не пустовал ;-) Обновляю статистику по росту числа нормативых актов за прошедшее время и распределению нормативных актов, регулирующих вопросы ИБ в разных отраслях.



3.7.12

Правительство взялось за оценку соответствия

Известный факт - все вопросы оценки соответствия (как элемента технического регулирования) описаны в ФЗ-184 "О техническом регулировании". Данный закон достаточно четко прописывает особенности оценки соответствия и сертификации, как одной из форм оценки соответствия. Но относятся ли эти особенности на средства защиты информации? И да, и нет.

Дело в том, что средства защиты информации, не без помощи наших регуляторов, попали под действие ст.5 ФЗ-184, которая имеет очень длинное и сложное название - "Особенности технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции". Без 100 грам не разберешься ;-) Чтобы облегчить сию задачу, я нарисовал картинку, которая отражает набор объектов, попадающих под регулирование ст.5 ФЗ-184.


Еще в бытность свою Президентом России Дмитрий Медведев пытался навести порядок в этой области, сначала включив в ФЗ-184 пункт о возможности признания западных сертификатов, потом направив в Госдуму на ратификацию "Соглашение о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия". Попутно было выпущено и 455-е Постановление Правительства от 17 июня 2010 года "Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия", которое устанавливало единые требования для всех сертификационных лабораторий, в т.ч. и в области защиты информации. А ПП-455 ни много ни мало требовало наличия в органах по сертификации официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия. Правда, потом, 24 января 2011 года Президент выпустил Указ о создании единого органа по аккредитации органов по оценке соответствия... за исключением органов, осуществляющих оценку соответствия в рамках ст.5 ФЗ-184. Но время шло... Президент покинул свой пост, но тему эту не оставил и на посту премьер-министра продолжил регулирование темы оценки соответствия, при этом продолжив начатый ранее курс на четкое разделение всех объектов оценки - по ст.5 и "все остальное".

В частности,  19 июня было выпущено новое Постановление Правительства № 602 "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия, аттестации экспертов по аккредитации, а также привлечении и отборе экспертов по аккредитации и технических экспертов для выполнения работ в области аккредитации", которое, отменив ПП-455 и ПП-163, четко указало, что "особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке соответствия продукции (работ, услуг), указанных в статье 5 Федерального закона «О техническом регулировании», устанавливаются отдельным актом Правительства Российской Федерации" (раньше такой приписки не было, что создавало некоторую двойственность и неопределенность для органов по сертификации средств защиты).

Также Правительство подготовило проект Постановления "Об утверждении Положения об особенностях оценки соответствия оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения".

Если посмотреть на иллюстрацию выше, то мы увидим, что Правительство планомерно закрывает все объекты техрегулирования в ст.5 своими Постановлениями. Это тоже понятно, т.к. в п.2 ст.5 ФЗ-184 четко говорится, что особенности технического регулирования в части разработки и установления обязательных требований устанавливаются Президентом или Правительством.

Чем "закрыты" другие объекты ст.5? Продукция (работы, услуги) в целях защиты сведений, составляющих гостайну, у нас покрывается пусть "старым", но все еще действенным 608-м Постановлением Правительства "О сертификации средств защиты информации" от 26 июня 95-го года. Продукция (работы, услуги) в целях защиты информации ограниченного доступа покрывается часто упоминанемым ПП-330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)". Оно пусть и ДСПшное (ФСТЭК кивает на МинОбороны, установившее такой гриф), но все-таки хоть что-то. Хотя это парадокс. ПП-608 о средствах защиты гостайны открыто и публично, а ПП-330 о средствах защиты обычной конфиденциальной информации - закрыто для широких глаз.

К чему этот краткий анализ? Правительство стало приводить свою нормативную базу в порядок даже в такой непростой области, как та, что регулируется 5-й статьей ФЗ-184. Однако сейчас у меня возникает один простой вопрос. Что будет с 330-м Постановлением? Останется ли оно в том виде, как есть сейчас? Снимут ли с него гриф (и тогда все потребителям уже не отмазаться от применения сертифицированных средств защиты)? А может его и вовсе отменят, полностью заменив каким-то иным нормативным актом? Время покажет.

2.7.12

Новая версия курса по персданным

Новые изменения в версиях 4.6 и 4.7:
  • Должен ли надзор уведомлять о том, что ими получен доступ к ПДн субъектов не напрямую?
  • Ст.13.111 КоАП
  • Анализ отчета о деятельности РКН в 2011-м году
  • Новое Постановление Правительства ПП-221 
  • Как соотносятся цели обработки ПДн и цели бизнеса
  • 5 сценариев классификации ИСПДн
  • Новое европейское законодательство
  • Европейские стандарты по безопасности ПДн
  • Об уровнях защищенности
  • Обновление раздела о лицензировании ТЗКИ
  • Требования МВД по сохранности ПДн
  • О количестве сотрудников для защиты ПДн
  • Экспресс-план приведения в соответствие
  • Статистика проверок ФСТЭК за 2011-й год
  • Обновление раздела о ближайших родственниках
  • 5 сценариев защиты ПДн
  • IP-адреса как ПДн с точки зрения Евроконвенции
  • Видеонаблюдение как ИСПДн
  • Обновление раздела про обезличивание
  • Новые практические примеры обработки ПДн
  • Взаимодействие с третьими лицами
  • Обновление информации по штрафам, сроку давности и переходу полномочий от прокуратуры к РКН
  • Проект Постановления Правительства по проверкам РКН в части ПДн
  • Новые иллюстрации и блок-схемы по обеспечению безопасности ПДн
  • Новые основания для обработки сведения о судимости
  • Детальное описание и визуализация отдельных бизнес-процессов банка (кредитование, подбор и увольнение персонала) в контексте обработки ПДн
  • Проекты новых Постановлений Правительства по уровням защищенности и требованиям по защите ПДн