24.9.14

Новая редакция 382-П Банка России вступает в силу с 16 марта 2015 года

14 августа Банк России утвердил, а 10 сентября это сделал Минюст, новое Указание №3361 (в Консультанте+), вносящее изменения в 382-П. Я про него уже писал в мае, а сейчас хотел бы описать некоторые отличия финальной версии от проекта:
  • Новое указание было опубликовано в "Вестнике Банка России" №83 от 17 сентября. С этого момента необходимо отсчитать 180 дней на вступление в силу. Итого, с 16 марта 2015 года положения обновленного 382-П становятся обязательными для всех участников НПС.
  • Расчетные (дебетовые), кредитные карты, которые начинают действовать после 1 июля 2015 г., выданные (эмитированные) кредитными организациями на территории России, должны быть оснащены микропроцессором. До этой даты достаточно наличия магнитной полосы.
  • Обновленный п.2.3 говорит об обязанности применения антифрод решений.
  • Новый п.2.3.3 "применение объектов информационной инфраструктуры, обладающих функциональными и конструктивными особенностями, связанными с обеспечением защиты информации при осуществлении переводов денежных средств и реализации контроля за их функционированием" для меня остался непонятным :-(
В остальном сильных изменений от проекта я не заметил. Внесены некоторые изменения в проектные формулировки, делающие отдельные требования более понятными. В остальном все осталось также.

Последние изменения в законодательстве

Пока законодатели активизировали свои усилия в области СОРМ (например, в части запрета Интернет-телефонии), хочется сделать краткий апдейт по текущей ситуации с законодательством по ИБ и ПДн. Итак, что произошло совсем недавно:
  • ФСО предложила общественности проект Указа Президента Российской Федерации «Проект указа Президента Российской Федерации "Об утверждении Порядка обеспечения связью для нужд органов государственной власти"
  • В "Российской газете" опубликовали текст 378-го приказа ФСБ по защите ПДн. Он вступает в силу 28-го сентября 2014-го года.
  • Президент подписал Распоряжение "О подписании Соглашения о порядке защиты конфиденциальной информации и ответственности за ее разглашение при осуществлении Евразийской экономической комиссией полномочий по контролю за соблюдением единых правил конкуренции"
  • Президент подписал Указ о создании Центра противодействия киберугрозам в рамках ОДКБ
  • Правительство подписало ПП-911 об отмене обязательного обезличивания ПДн в государственных и муниципальных органах, установленное ПП-211. Теперь решение об обезличивании отдается на откуп самого оператору ПДн.
  • ФСТЭК подписала приказ от 28 июля 2014 года №87 "Об утверждении требований к средствам контроля съемных машинных носителей информации". Сам приказ как обычно ДСП, но профили защиты должны скоро выложить на сайт ФСТЭК.
  • Законопроект № 596277-6 "О внесении изменения в статью 4 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" (в части уточнения срока вступления в силу) был рассмотрен и принят в первом чтении. Ко второму чтению текст не поменялся - срок вступления в силу 242-ФЗ все-таки сдвигают на 1-е января 2015-го года.
  • ЦБ выпустил Указание от 14 августа 2014 №3361-У о внесении изменений в 382-П по защите информации в Национальной платежной системе. Про него я напишу отдельно позже.

22.9.14

Впечатления от BIS Summit 2014

Про идеальное мероприятие по ИБ я уже писал неоднократно и вот настало время описать одно из таких (ну или почти таких). Это был прошедший в пятницу BIS Summit 2014 (новое название DLP Russia), который решил уйти от имиджа мероприятия про DLP в сторону большей бизнес-ориентированности. На мой взгляд организаторам это удалось. Про контент много говорить не буду; если честно, то я почти нигде не был и слышал некоторые доклады только краем уха :-) Но судя по комментариям коллег, доклады были интересными и почти неизобилующими рекламой, что уже неплохо.


А вот про организацию расскажу подробнее. Я уже как-то вскользь упоминал, что должно быть на мероприятии и организаторы, видимо, учли. В местах проведения секций (а их было 3 - по DLP, по APT и по юридическим вопросам) висели необходимые указатели, облегчающие поиск залов.


Указатели встречали участников от входа и сопровождали до места регистрации, на котором очередей я не заметил. Выдача бейджей и материалов проходила оперативно. Кстати, в этом году на мероприятии было не менее 620 человек (к обеду именно столько было выдано бейджей), что больше прошлогодних 550.


Но в этом году, помимо очного участия, была организована и онлайн-трансляция, что на мой взгляд было просто офигенно. Многие коллеги, кто не смог приехать, смотрели все действо онлайн. И хотя онлайн сложно общаться с коллегами и задавать вопросу спикерам (у нас в Cisco на многих мероприятиях организованы отдельные команды, транслирующие выступающим вопросы из Интернет) все равно такая редкая на ИБ-мероприятиях возможность может только приветствоваться.

Кстати, об Интернет. BIS Summit 2014 - тот редкий случай, когда мероприятие началось задолго до своего официального открытия президентом BISA, Рустемом Хайретдиновым.


На сайте bis-expert.ru заранее стали выкладываться видео-интервью ключевых докладчиков, чтобы лишний раз подхлестнуть интерес к мероприятию. А само мероприятие очень грамотно было представлено в социальных сетях (как минимум Facebook и Twitter). Я уж не знаю, это выстроенная работа digital marketing или просто результат хорошо организованного мероприятия, впечалениями о котором все готовы были делиться. Но я не помню других мероприятий по ИБ, которые бы так активно обсуждались и "транслировались" в Интернет.


Еще одна приятная неожиданность - неплохой Wi-Fi, организованный не отелем и за деньги, а организаторами. Везде висели указатели имени сети и пароля. Насколько я заметил, проблем со скоростью не было и всем хватало.


Со спикерами работа тоже была налажена эффективно. Тут и заранее присланное письмо с описанием места проведения и сопутствующих вопросов, и комната для докладчиков, где можно было подготовиться к выступлению. Чай, кофе, печенюшки... Все что надо :-)



Из других запомнившихся фишечек BIS Summit 2014:

  • фотобудка для групповых фото

  • художник, страдающий метеоризмом и параллельно делающий шаржи на спикеров
  • подарки для участников
  • призы авторам статей, опубликованных на портале bis-expert.ru
  • непрерывные селфи Андрея Прозорова и Екатерины Старостиной, не упустивших, похоже, никого из участников :-)
Резюме - достойное мероприятие! Мне понравилось.


ЗЫ. Видеозаписи выступлений обещают выложить после обработки.

ЗЗЫ. Я выступал на мероприятии с докладом "Финансовое измерение ИБ. 10 реальных кейсов". Презентацию выложу сегодня попозже.


18.9.14

Роскомнадзор остался без члена

Летом 2012-го года меня пригласили войти в состав Консультативного совета Роскомнадзора по защите прав субъектов персональных данных. В тот момент многие коллеги высказывали скепсис относительно этой структуры. Да и я сам имел неоднозначное отношение к этой структуре. Вот что я писал 2 с лишним года назад: "Ну а дальше началось то, что вызвало у меня двойственное ощущение от Совета. С одной стороны мне, безусловно, приятно включение в состав этой организации, что позволяет надеяться на то, что мое мнение будет услышано. С другой, складывается впечатление, что Общественные и Консультативные советы нужны только для того, чтобы придать уже принятым по сути решениям видимость наличия независимой оценки общественными организациями. Это, кстати, тоже занесу в плюс - понимать как работают такие советы тоже полезно. Но я все-таки надеюсь, что мое впечатление обманчиво и к мнению участников все-таки прислушаются и, что самое главное, учтут."

Теперь, спустя два года могу сказать, что мнение о "ширме" у меня скорее усилилось, чем изменилось в лучшую сторону. А уж после ухода Шередина и вовсе все стало как-то совсем уж худо. И советы проходили редко и законопроекты никакие не обсуждались и мнение ничье не учитывалось. Дошло до того, что некоторые члены КС вышли из него чуть ли не со скандалом, т.к. никакого выхлопа из практических предложений и обсуждений не было.

Я продолжал оставаться членом КС и на последнее предложение продолжить работу я ответил положительно. Было это совсем недавно. 3-го сентября я даже получил приглашение на очередное заседание совета, которое должно было пройти вчера. В понедельник я переписывался с представителем РКН о том, какая у меня должность (видимо решался вопрос о новом приказе о составе КС РКН), а во вторник был опубликован новый список членов совета... уже без меня. Сам список кстати сильно пополнел - число представителей власти увеличилось почти вдвое.

Когда я во вторник увидел обновленный список и имея на руках приглашение о посещении заседания совета, у меня закрались смутные подозрения, что меня там не ждут. Причину такого поворота я до конца не понял. То ли моя работа в представительстве американской компании, то ли мое письмо в РКН по поводу 242-ФЗ (на тот момент еще законопроекта). Кстати, на письмо мне так никто и не ответил. А ведь я его писал не как хрен с горы, а как член Консультативного совета. Видимо кому-то не понравилась критика законопроекта. И этот кто-то известен :-) Письмо было направлено (как выяснилось позже) автору законопроекта о запрете хранения ПДн россиян за границей. И вот то ли первое, то ли второе, но повлияло на решение РКН об исключении меня из состава членов.

Но у чиновников как-то непринято уведомлять о таких решениях. Поэтому я во вторник вечером решил уточнить, по ошибке меня нет в списке или со злым умыслом?.. И вот вчера я получил ответ, поразивший меня глубиной своей проработки. Всего одна фраза: "Вы исключены из состава в связи с несоответствием (изменением) занимаемой должности". Должность у меня не менялась последние 10 лет работы в компании (кстати, я вчера отметил свое первое десятилетие в Cisco). А вот с формулировкой о несоответствии занимаемой должности в качестве причины исключения человека из общественного совета я сталкиваюсь впервые. РКН просто отжег :-)

Вот так закончилась моя эпопея с членством в Консультативном совете РКН по защите прав субъектов персональных данных. Благодарю коллег за сотрудничество и желаю КС РКН продолжать также успешно работать на благо российских граждан!

ЗЫ. Кстати, законопроект о переносе сроков вступления в силу 242-ФЗ с 01.09.2016 на 01.01.2015 будет рассмотрен в ГД в первом чтении в эту пятницу, 19-го сентября.

17.9.14

Сказ про вампира-педераста, задушенного импотентом из спецназа

Вообще занятная ситуация сейчас творится в нашей с вами сфере. На ум приходит две картины. Первая навеяна опусами некоторых отечественных акул пера, которые не разбираясь в теме, желая успеть к дедлайну и застолбить за собой право первой ночи, выпускают материалы, которые либо вольно, либо невольно не соответствуют действительности. На просторах Интернета я нашел картинку, которая хорошо иллюстрирует то, что сейчас пишут СМИ (причем в разных странах) на тему текущей обстановки.


Как обычно поступает журналист, которому надо срочно сдать в номер материал? В социальной сети (ФБ или Twitter) находится какой-нибудь "жареный" факт в виде краткой реплики или высказывания неизвестного журналисту человека. Например, "компания Х отказала мне в поставке оборудования". Но это мелко и журналисту малоинтересно. Поэтому он берет первоначальный факт и транслирует его в "компания Х присоединилась к санкциям" или "компания Х прекращает поставки своего оборудования в Россию". Звучит зловеще. К такому заголовку даже текст не нужен - глаз автоматически за него ухватится и у читателя сложится мнение, с которым мы сейчас все сталкиваемся.

На деле может оказаться так, что никакого запрета на ввоз нет, а имело место изменение процедуры ввоза. Или партнер решил ввезти оборудование, которое он раньше не ввозил и по которому он не знаком с правилами оформления документов. Или оборудование новое и постановлено в очередь на изготовление. Или наоборот оборудование снимается с производства и заказы на него уже не размещаются. И ладно бы автор статьи или ее читатели решили самостоятельно разобраться в ситуации и провели бы свое мини-расследование. Нет! Вера на слово и распространение слухов. Мне напоминает такое отношение к новостным заголовкам классику советского кино:



Тут впору давать ссылку на рекомендации бывшего главреда издания Lenta.ru Галины Тимченко, которая советовала, как надо читать отечественные СМИ:


К сожалению, этой панике подвержен не только обыватель, но и специалист по ИБ, который начитавшись Интернет и СМИ и наслушавшись коллег-"специалистов", принимает все за чистую монету. И все это вместо того, чтобы спокойно разобраться самому, перепроверить "факты" по нескольким источникам или просто немного выждать, когда ситуация уляжется и рассосется сама собой.

Я хочу напомнить читателям начало 2010-го года. Тогда, Таможенный союз (Россия, Казахстан и Белоруссия) ввели новые правила ввоза шифровальных средств. Для многих производителей это была совершенно новая процедура, к которой многие были просто не готовы. Заказчики стали сталкиваться с увеличением срока поставки запрашиваемого оборудования, а иногда и с требованием оформления каких-то запросов в ФСБ. СМИ тогда тоже подхватили эту тему, преподав ее как "запрет на ввоз в Россию западной криптографии" (приведенные выше примеры про запрет поставки оборудования или присоединение к санкциям как раз мне встретились 4 года назад, а не сейчас, как могли подумать многие). А ведь никакого запрета не было - было всего лишь изменение процедуры ввоза. Через несколько месяцев ситуация устаканилась, производители разобрались с новыми правилами таможни, ФСБ и Минпромторга и зажили как раньше.

Еще раньше российский офис Cisco переходил на схему DDU. Это полностью меняло всю схему логистики и доставки продуктов в Россию. И тоже некоторые желтые издания извратили связанное с изменением цепочки поставки время доставки наших решений до конечного потребителя, превратив его сначала в уход Cisco из России, потом в снижение объема продаж, потом еще в какую-то ахинею. И вновь опасения СМИ не оправдались, и мы вернулись к нормальному процессу логистики.

Аналогичная ситуация произошла совсем недавно, в июле. Жителя Ульяновска хотят наказать (кто-то даже пишет, что чуть ли не арестовывают) за неверное декларирование заказанного на зарубежном Интернет-магазине смартфона. "Демократические" и оппозиционные СМИ начинают кричать о кровавой гебне, закручивающей гайки даже для обычных граждан, желающих приобщиться к прогрессу и заказывающих в Интернет-магазинах товары для личного потребления. Тогда еще так "удачно" сложилось, что власти решили уменьшить сумму, на которую в Интернет можно было покупать товаров. А ведь ничего нового или сверхъестественного не произошло - правила игры были известны несколько лет. Скажу более. Регуляторы были лояльны в течение нескольких лет и не требовали от физлиц соблюдения условий декларирования товаров, попадающих под определенные ограничения. И только когда таможня решила выполнить возложенные на нее обязательства (нужны они или нет - другой вопрос), все заголосили о запретах и ограничениях. Только вот ни граждане про их существование не знали, ни журналисты не удосужились их изучить перед своими "разоблачениями". Зато шумиха была знатная.

Вот и сейчас ситуация сейчас ровно такая же. Неразбериха, непонимание сложившихся и измененных процессов, слухи, желание "жареного", журналисты, постоянно подливающие масла в огонь... Исправить эту ситуацию мне не под силу. Я вообще не хотел про нее писать, считая, что специалисты в отрасли - люди здравые и умеют отделать мух от котлет, а слухи от реальности. Но увы :-( В ФБ эта тема стала всплывать с завидной регулярностью. Постоянно идут ссылки на доверенные (но неназванные) источники, на виденные (но непоказываемые) документы. И многие ведутся :-(

Поэтому, в качестве завершающего аккорда, я бы вновь обратился к классике советского кино, в котором дан рецепт, как безболезненно для душевного спокойствия и пищеварения пережить непростое время, в котором нам довелось жить последние месяцы и, возможно, придется жить еще какое-то время:



Как-то так...

16.9.14

Мое выступление на BIS Summit

19 сентября Москва в очередной раз встретит конференцию BIS Summit, ранее называемую DLP Russia. Такое изменение название связано в первую очередь с некоторой сменой фокуса у мероприятия с тематики утечки информации в сторону большей бизнес-ориентированности. Пригласили выступить на мероприятие и меня. Если в предыдущие года я фокусировался сначала на требованиях к DLP-решениям и законодательстве в области ИБ, то в этот раз наступлю на больную для многих мозоль финансового измерения ИБ.

К сожалению, времени выделено мне совсем немного, - всего 20 минут. Поэтому решил в этот раз не растекаться мыслью по древу, а привести 5 реальных кейсов, показывающих успешный и неуспешный опыт финансового обоснования проектов по ИБ в компаниях разных - отечественных и зарубежных, крупных и не очень. Задача перед мной поставлена (мной же) простая - показать возможные пути решения данной непростой задачи и показать, что, к сожалению, никакого универсального способа удовлетворения нужд бизнеса и безопасников нет. В каждом случае это особая, а местами уникальная ситуация и исходные данные, которые сложно транслировать на другие, даже схожие по бизнесу и масштабу компании. Однако при этом есть и ряд ключевых общих для многих ошибок, которые я тоже постараюсь рассмотреть в своей небольшой презентации. В заключение приведу пример проверенной структуры бизнес-кейса, которая помогает обосновывать перед бизнесом проекты по ИБ.

Приходите или подключайтесь дистанционно, будет интересно.

15.9.14

Доступ в Wi-Fi по паспорту и ФЗ-152

Пока прокуратура начала активные проверки по части использования публичных хотспотов "без паспортов", а многие компании начинают задумываться о том, как эту задачу решить технически, пока все ждут, когда Алексей Волков опубликует продолжение своего опуса (базируясь на ответе Минкомсвязи), а ваши канцелярии думаю, что делать с письмами, аналогичными нижеприведенным, я решил посмотреть, как соотносится пресловутое ПП-758 с законом о персональных данных.


Если посмотреть на возможные сценарии, на которые распространяется ПП-758, то у нас получается, что речь идет только о сотрудниках и посетителях, которые пользуются вашим оборудованием (ПК, ноутбуками, смартфонами, планшетниками). Такие ситуации возникают в корпоративной среде достаточно часто - при организации как обычного, так и гостевого беспроводного доступа. Если выполнять вышеприведенное письмо Вымпелкома, то компании, внедрившие у себя Wi-Fi, должны передавать оператору связи ФИО, место жительства и паспортные данные, а это у нас ПДн, подпадающие под требования ФЗ-152.

Итак, что должна сделать компания, получившая такое письмо:

  • Получить согласие субъекта ПДн на передачу таких данных оператору связи. Цель обработки новая, поэтому при изначально неправильной выбранной цели/целей обработки ПДн, вам придется не только переделывать форму согласия, но и переполучать его заново. Но тут есть три нюанса. Во-первых, согласно ГК "закон обратной силы не имеет" и получать согласия вы должны только с момента вступления в силу ПП-758. Во-вторых, согласно ст.6.1.2 ФЗ-152 получать согласие не надо, в случае выполнения возложенных на оператора ПДн обязанностей. В-третьих, для данной обработки оператором ПДн являетесь не вы, а оператор связи и задача получать согласие лежит на нем. Опираясь на эти нюансы можно согласие не получать и, если РКН или прокуратура будут настаивать на получении такого согласия, отказать им на законных основаниях (если вы готовы спорить с регуляторами).
  • Определить лиц, допущенных к обработке передаваемых ПДн оператору связи. Уточнить, включены они в уже утвержденные приказы или нет?
  • Определить срок хранения указанных ПДн. Для работников этот срок может быть равен сроку действия трудового договора + 1 квартал, а для посетителей - 6 месяцам (вы можете и больше указать, если субъект с этим согласится).
  • Для посетителей, пользущихся вашим Wi-Fi с ваших устройств, разработать поправки в положение об обработке ПДн (политику в отношении обработки ПДн), с которыми надо будет посетителей знакомить.
  • Определить порядок передачи ПДн оператору связи. Тут возникает один нюанс. Согласно 378-му приказу ФСБ, эти данные должны шифроваться с помощью сертифицированных СКЗИ. Это если следовать буквально приказу и признавать нарушение конфиденциальности серьезной угрозой. Правда, тут есть очередной нюанс. Хотя данные это ваши, оператором ПДн этих данных является оператор связи. Именно он устанавливает порядок и цели обработки ПДн, так как это определено ПП-758. Иными словами, и модель угроз должны определять не вы, а оператор связи. И если оператор связи решит, что конфиденциальность данных обеспечить надо, то тут увы - надо что-то решать. Правда, решать будет тоже оператор связи - если он от вас что-то требует, то и обеспечить СКЗИ тоже должен он (или предложить иной способ обеспечения конфиденциальности). На вашем месте, при получении такого запроса, я бы направил встречное письмо с просьбой уточнить механизмы защиты передаваемых по открытым каналам связи данных (e-mail у нас пока еще механизм открытый). Ну и как подсказка - посмотрите как поступают сами госорганы, чтобы уйти от применения СКЗИ.
  • Если в договоре между вами и оператором связи нет ни слова про обработку ПДн и обязанности сторон по данному направлению, то стоит задуматься, наконец-то, об обновлении договорных отношений. Как минимум, для выполнения ст.6.3 ФЗ-152.
  • Обновите порядок реагирования на запросы субъектов (а они точно будут).
  • Обновите порядок уничтожения (обезличивания или архивирования) собираемых данных.
  • Скорее всего вам не понадобится обновлять свое уведомление в РКН, но вдруг... Проверьте.
  • Передача указанных ПДн осуществляется с помощью уже известной ИСПДн, для которой определен уровень защищенности и защитные мероприятия? Если да, то хорошо. Если нет, то стоит решить и этот вопрос.

Я понимаю, что для данного вида обработки оператором ПДн будет являться оператор связи, а не вы. Но регуляторы в лице прокуратуры или РКН не очень любят это деление на оператора и обработчика и поэтому лучше исходить из худшего сценария развития событий.

12.9.14

Сказ о том, как о моем неутекшем пароле побеспокоились

Вчера я получил от Parallels письмо следующего содержания:



Вроде все понятно. Произошла компрометация большого числа почтовых учетных записей Яндекса, Mail.ru и Gmail. Некоторые компании, у которых пользователи регистрировались с указанием e-mail с указанных почтовых сервисов, решили побеспокоиться о своих клиентах и, кто-то просто предупредил о необходимости сменить пароль, кто-то решил сработать на опережение и заблокировал учетные записи, так сказать "во избежание".

И вот тут начинается самое интересно. Ни одной моей учетной записи скомпрометировано не было, но я все-таки получил сообщение о блокировке. Яндекс утверждает, что утечка произошла не у них, а путем фишинга и снифинга паролей у пользователей в течение длительного времени. Кто-то считает, что дело не чисто и есть некоторые сомнения в невиновности Яндекса. Я не буду сейчас вникать в это. Я хочу вернуться к теме, которую я поднимал в прошлом году - про слишком избыточную привязку к e-mail, как средству идентификации пользователя.

Что сделал Parallels, решив побеспокоиться обо мне? Заблокировал учетку и попросил доказать, что я - это я. И вот дальше самое интересное. Я захожу по ссылке на сайт Parallels, где меня просят указать мой... якобы "скомпрометированный" e-mail. Зачем? Вот какой в этом потаенный смысл? Если мой почтовый ящик не скомпрометирован, то мне достаточно было бы прислать напоминание о необходимости более внимательно относиться к своей безопасности или попросить привязать мою учетную запись не только к e-mail, но и к номеру мобильного телефона или использовать другой механизм (тот же Google Authenticator).


Если же мой почтовый ящик скомпрометирован, а Parallels именно это и подозревает (иначе нафига было блокировать мою учетную запись), то зачем отправлять на скомпрометированный e-mail инструкцию и ссылку на восстановлению доступа? Получается замкнутый круг :-(


Спустя какое-то время я получаю на ту же самую почту стандартное письмо с ссылкой на смену пароля.


Пройдя по ссылку, я меняю пароль и вуаля, я вновь имею доступ к своей учетной записи. По сути я проделал кучу манипуляций только ради того, чтобы сменить пароль к моей учетной записи на сайте Parallels. При этом, если раньше злоумышленник пароля на доступ к Parallels не знал вовсе, то теперь именно он его и установил (при условии компрометации почтового ящика). Удобно, ничего не скажешь.


Собственно винить Parallels тут и сложно и должно. Сложно, потому что у них врядли есть мои контакты кроме e-mail. Должно, потому что давно стоило бы использовать многофакторную аутентификацию и не просто запросить у меня номер мобильного телефона (такое поле есть в профиле пользователя, но оно необязательное), но и использовать его для восстановления доступа к учетной записи. Но другим компаниям, которые используют регистрацию пользователей на своих сайтах стоит подумать над изменением процесса регистрации, а точнее механизма идентификации пользователя.

ЗЫ. Единственное, что меня смущает во всей этой истории - позиция CISO Parallels. Алексей утверждает, что восстановление пароля по описанной мной процедуре не зависит от компрометации почтового ящика и полностью безопасно. Возможно это и так, и от пользователей просто скрывается сверхсекретная и сверхзащищенная процедура идентификации пользователя скомпрометированного почтового ящика. Но вот гложут меня сомнения все-таки... 

11.9.14

Всем лицензиатам ФСТЭК и ФСБ, а также операторам ПДн пора напрячься

5-го мая 2014-го года был подписан ФЗ-99, вносящий существенные изменения в 4-ю часть Гражданского Кодекса, а именно в вопросы организационно-правовых норм юридических лиц. Согласно сделанным поправкам, вступившим в силу с 1-го сентября 2014-го года, у нас теперь не будет ЗАО и ОАО - им на смену придут публичные и непубличные акционерные общества (чем-то мне это напомнило переименование милиции в полицию). Но дело не в самом изменении, а в его последствиях для отрасли ИБ. А они следующие:

1. Закон с тем же номером (99-ФЗ), но изданный 3-мя годами ранее, "О лицензировании отдельных видов деятельности", в статье 18 указывает случаи переоформления лицензий на лицензируемые виды деятельности. Согласно данной статье получается, что реорганизация, а также смена наименования юридического лица (а с 1-го сентября у нас именно это и произошло), требует переоформления ранее выданной лицензии. Иными словами, все лицензиаты ФСТЭК и ФСБ обязаны переоформить полученные ранее документы. Правда, 99-ФЗ от 2014-го года говорит, что наименования и учредительные документы юридических лиц, созданных до вступления в силу 99-ФЗ, должны быть приведены в соответствие с принятыми изменениями при первом изменении учредительных документов таких юридических лиц. Поэтому можно пока не торопиться. Если не будет прямого запроса от лицензирующих органов или если вы не кредитная организация.

2. Если вы кредитная организация, то на вас распространяется положение Банка России о внутреннем контроле 242-П, последнее изменение которого произошло 24-го апреля 2014-го года. Согласно новой редакции п.4.1 в кредитной организации помимо СВК должна быть создана еще и служба внутреннего аудита, что должно быть отражено в уставе кредитной организации. А так как раньше такой службы в банках не существовало, то это новация потребует изменения учредительных документов, что в свою очередь приведет к необходимости взаимодействия с ФСБ и ФСТЭК по поводу переоформления лицензии.

3. Согласно приказу Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" в уведомлении необходимо указывать наименование оператора ПДн и его организационно-правовую форму. Изменение этой информации (как и иной в ранее поданном уведомлении) требует посылки обновленного уведомления в Роскомнадзор. Так как 99-ФЗ от 2014-го года коснется очень многих юридических лиц, то всем им потребуется вновь напомнить о себе уполномоченному органу по защите прав субъектов персональных данных.

4. Ну и до кучи также потребуется переоформление аттестата аккредитации ФСТЭК, если он у вас есть (именно аттестата аккредитации, а не аттестата на объект информатизации).

А вот сертификаты на средства защиты, в которых упомянут заявитель или испытательная лаборатория, изменения не требуют и это хорошо :-)

10.9.14

Заложники наименований

Вчера, когда я написал про новый приказ ФСБ по защите ПДн, Алексей Волков не согласился со мной в той части, что раз приказ называется "...с использованием средств криптографической защиты информации...", то и касается он только тех, кто эти средства использует. В другом месте вспомнили старый баян о том, что иностранные средства шифрования и не СКЗИ вовсе по версии ФСБ (правда, обосновать эту позицию так и не смогли). И в итоге получилось как с юристами - "два эксперта - три мнения" :-) Я не планирую вступать с Алексеем в полемику; каждый все равно останется при своем. Просто хочу вспомнить несколько примеров, которые показывают, что не стоит так безоглядно смотреть на название и танцевать от него в принятии решении о том, на что распространяется или не распространяется нормативный акт.

Первый пример связан со старым ПП-687, название которого звучит как "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Многие специалисты в свое время "повелись" на название и посчитали, что ПП-687 касается только неавтоматизированной, т.е. ручной обработки ПДн. Однако, в самом тексте было сказано немного иное, а именно - "Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных,осуществляются при непосредственном участии человека". Иными словами, если 4 упомянутых действия осуществлялись при непосредственном участии человека (а обычно так и есть), то такая обработка могла считаться осуществляемой без использования средств автоматизации. Специально для недоверчивых в тексте ПП-687 было добавлено - "Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее".

Но пойдем дальше. Вспомним ПП-1119, а точнее историю его появления. Первоначально вместо одного ПП-1119 планировалось принять два постановления, в одном из которых говорилось не о типе угроз как сейчас, а о категории нарушителей. Это понятие было ближе к авторам постановления (8-му Центру ФСБ) и они хотели использовать именно его. Однако когда проект ПП-1119 ушел в Администрацию Правительства оттуда пришел ответ, что использовать словосочетание "категория нарушителя" нельзя и его надо менять на "тип угрозы", упоминаемое в ФЗ-152.

Третий пример касается практики проведения проверок Роскомнадзором. В одном из известных мне случаев при проверке сотрудник РКН затребовал предусмотренную ст.18.1 ФЗ-152 политику в отношении обработки персональных данных. В ответ ему было представлено Положение об обработке персональных данных. И вот тут последовала странная реакция - требование представить не положение об обработке, а политику в отношении обработки. Попытки объяснить, что это одно и тоже успехом не увенчались и в акте проверки было написано замечание, которое, правда, было быстро устранено, но эта глупая привязка к термину из ФЗ сама по себе показательна.

Наконец, последний пример касается пресловутой "защиты информации", которая фигурирует в названии многих документов ФСТЭК. Например, в приказе №31 по защите АСУ ТП. Мы прекрасно понимаем, что документы ФСТЭК касаются не только и не столько информации, сколько систем, в которых эта информация циркулирует и обрабатывается. Но в названии упоминать "системы" нельзя, т.к. ФСТЭК является заложником очередного термина "федеральный орган, уполномоченный в области защиты конфиденциальной информации". ФСТЭК по версии законодателей (а также юристов Правительства и Администрации Президента) не защищает информационные или автоматизированные системы - она защищает информацию. Поэтому юристы ФСТЭК тратят много усилий на то, чтобы скрыть в тексте приказов то, что понятно любому специалисту - защищать информацию без защиты систем, в которых она обрабатывается, бессмысленно. Именно поэтому в названии многих документов ФСТЭК говорится о защите только информации и только внутри документов это понятия ширится и захватывает еще и сами системы.

Аналогичная ситуация и с ФСБ, которую все привыкли ассоциировать с СКЗИ. И поэтому во многих распоряжениях Президента или Правительства, на основе которых и создаются ведомственные приказы, фигурируют вполне конкретные названия документов, которые мы с вами и видим после их регистрации в Минюсте. Эти названия, зачастую неотражающие реального содержания (или отражающие его неполностью), предписаны сверху и поэтому поменять их практически нереально. Попробовать-то можно, но себе дороже. Именно по этой причине, названия некоторых документов ФСТЭК или ФСБ не всегда совпадают с их содержанием. Это не значит, что регулятор ошибся или вышел за рамки своего поля деятельности. Нет. Регулятор действует в рамках имеющегося распоряжение гаранта Конституции или премьер-министра, но при этом является заложником наименований, которые либо уже используются в каком-то нормативном акте, либо упомянуты в непубличном распоряжении, и отойти от них нельзя.

Отсюда простой вывод. Не всегда стоит ориентироваться только на название документа - надо внимательно читать то, что написано внутри него. Лично я по-прежнему считаю, что 378-й приказ ФСБ касается любого оператора ПДн, а не только тех, кто использует СКЗИ. СКЗИ - это только одна часть приказа регулятора. Вторая касается раскрытия вопросов, которые оставались неотвеченными в ПП-1119. 378-й приказ дает на них ответ. Поэтому в этой части он имеет отношение ко всем.

ЗЫ. Кстати, хочу напомнить, что невзирая на все, что написано в 378-м приказе ФСБ, проверить его исполнение ФСБ имеет право (по закону) только в отношении государственных и муниципальных операторов ПДн. Коммерческие операторы ПДн остаются пока вне поля регулирования ФСБ и ФСТЭК - их может проверить только прокуратура.

9.9.14

Что делать с новым приказом ФСБ по персданным?

Как-то незаметно для всех прошла регистрация в середине августа приказа ФСБ "по персданным" (он же приказ №378 от 10.07.2014), о котором я писал не раз (в частности, тут и тут). И поскольку текст финального варианта ничем не отличается от проекта, о котором я писал, то много говорить о приказе не хочется. Тем более, что про него уже отписались Саша Бондаренко и Сергей Борисов. Но так как меня просили высказаться, то не могу не сказать пару слов :-)

Во-первых, я бы хотел развенчать заблуждение о том, что это приказ о применении СКЗИ для защиты персданных. Это не так. Приказ делится на две части - применение СКЗИ и ответ на до недавнего времени непонятные моменты, связанные с ПП-1119. Что такое режим безопасности помещений? Что такое электронный журнал сообщений? Что такое сохранность ПДн? На все это в приказе №378 даны ответы. Поэтому, даже если вы не применяете СКЗИ, то уйти от выполнения этого приказа ФСБ не удастся, как и от опечатывания помещений, учета машинных носителей ПДн и другой лабуды, которая мало кому помогает в деле защиты ПДн, а в ряде случаев и вовсе неисполнима.

Но приказ есть и с ним надо что-то делать. Что? Могу посоветовать ровно то, что советовали представители 8-го Центра на одном из заседании в Совете Федерации в конце прошлого года, когда мы подняли тему невыполнимости этого приказа. Сказали оно одну простую вещь - "не хотите выполнять приказ, творчески подойдите к процессу формирования модели угроз". Иными словами, представители регулятора решили вовсе не заморачиваться с защитой ПДн, дав всем операторам простой совет - исключите угрозу нарушения конфиденциальности из актуальных и вам не понадобится применение СКЗИ вовсе. Ни сертифицированных, ни несертифицированных. Понятно, что это малость противоречит духу ФЗ-152 в части защиты прав субъектов, но кого эти субъекты и их права волнуют? На них давно уже забили болт даже в Роскомнадзоре, который благополучно разрешил РЖД считать паспортные данные общедоступными. И Правительство вполне легально и согласно букве закона не заморачивается применением СКЗИ. Да что уж там. Закон о защите прав субъектов ПДн давно уже переименовали (даже регуляторы) в закон о защите ПДн, подменив суть и закона и его содержания. Но вернемся, к 378-му приказу.

Итак, я рекомендовал бы исключить нарушение конфиденциальности из числа актуальных угроз. Имеете ли вы на это право? Да, вполне. Отраслевых моделей угроз у нас пока нет. Поэтому пишите свои, устраивающие вас. Рекомендую ли я отказаться от защиты прав субъектов ПДн? Нет, не рекомендую. Просто формальный отказ от конфиденциальности, дает вам право также формально отказаться от применения сертифицированных СКЗИ. Иными словами, уйти из под действия регулятора, который за 3 года так и не смог родить адекватные требования по защите ПДн. А вот уйдя из под регулятора, вы уже в своем праве применять любые средства защиты, включая и несертифицированную, но официально ввезенную криптографию.

Вот только от оргмер, прописанных в 378-м приказе и разъясняющих ПП-1119 уйти не удастся - они не зависят от модели угроз. Единственное, что могу посоветовать - исключить из списка типов актуальных угроз первый и второй тип. Тогда вы в 99% случаев попадете под 4-й класс защищенности, который наименее жесток с точки зрения выполнения требований ФСБ.

ЗЫ. Обратите внимание, что приказ пока официально не опубликован, но вспоминая, что последний приказ ФСТЭК (№31) ждал публикации около месяца с момента регистрации, то и с приказом ФСБ, видимо, будет такая же эпопея - к середине-концу сентября, думаю, стоит ждать официального вступления в силу.

3.9.14

Видео-презентация с озвучкой по 31-му приказу ФСТЭК по защите АСУ ТП

Решил попробовать новый формат для представления презентаций - с озвучкой. Постоянно возникают пожелания добавить звуковой сопровождение к выкладываемым мной презентациям. И вот первый опыт. Учитывая сложившуюся направленность блога на законодательные аспекты ИБ, начать решил тоже с озвучивания презентации по 31-му приказу ФСТЭК по защите АСУ ТП.



У данного формата есть свою нюансы - и YouTube не рекомендует выкладывать длинные ролики (более 15-минут), и времени на конвертацию они требуют много, и слушать запись больше тех же 15-20 минут обычно тяжеловато. Поэтому решил ограничиться 20 минутами на первый раз. Следующие варианты могут быть даже короче - минут на 5-10.

ЗЫ. Комментарии и предложения и замечания приветствуются :-)

2.9.14

Что общего между беременностью слона и оппосума?

Вчера, в день знаний, внесли в Госдуму законопроект №596277-6 "О внесении изменения в статью 4 Федерального закона "О внесении изменений в отельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", который изменяет срок вступления в силу всем известного закона "о запрете хранения ПДн россиян заграницей".

Законопроект прост до безобразия - он переносит срок вступления 242-ФЗ с 1-сентября 2016-го года на 1 января 2015-го года, т.е. на 18 месяцев раньше запланированного. Идея этого законопроекта появилась еще в начале августа, когда в высоких властных коридорах думали о том, чем России ответить на санкции Запада в случае их усиления. И один из вариантов заключался именно в ускорении принятия 242-ФЗ. А так как Европа и США на прошлой неделе заговорили о новом витке санкций, то и Россия тоже не стала ждать и по традиции ответила асимметрично.

Примут этот законопроект или нет, покажет время...

ЗЫ. На вопрос о том, как связан заголовок с темой заметки, хочу отметить, что срок рассмотрения и принятия в трех чтениях 242-ФЗ составил чуть меньше пары недель; именно столько длится беременность самки обыкновенного оппосума. На вступление в силу данного закона дали около двух лет - именно столько длится беременность самки слона. А сейчас срок на принятия закона сравнялся со сроком беременности дикой свиньи. К ИБ отношения не имеет; скорее из области общих знаний :-)