Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Pages
▼
23.10.14
Что нас ждет в отечественном законодательстве по ИБ?
На мероприятии в Челябинске выступал с презентацией, в которой свел воедино ключевые изменения законодательства по ИБ и ПДн последнего времени и вкратце рассказал о том, что нас ждет в ближайший год-полтора.
Алексей, доброго дня! Еще раз перечитал разъяснения по биометрии. Т.е. получается компанию Apple, Samsung, и пр., кто испольует сканер отпечатка пальца, можно штрафовать, т.к. согласия письменного у субъекта на использвоание отпечатка для аутентификации они не получали?
пара вопросов, если позволите. 1. слайд 22, OpenSource. Если мы и так вляпываемся в КВ из-за реальности угрозы привлечения квалифицированного криптографа - чем нам тогда мешает OpenSource? Хуже уже не станет. 2. слайд 58. Чипы на картах. Да, такой пункт есть - но он один из многих других. Если банк не перестанет выпускать карты без EMV то ? практически уверен, у всех банков оценка по 382-П не равна 1. Ну станет оценка чуть хуже - опять же, можно вытянуть за счет другой оценки. Или у Вас есть информация, что конкретно это пункт будет оцениваться как-то отдельно?
Слайд №21. Всё таки не совсем понятно, почему именно ФСБ ограничил применение СКЗИ для защиты ПДн не ниже КС3. Это только потому, что мы можем считать (опять же - на основе модели нарушителя которую сами делали?), что нарушитель может получить доступ к СВТ? Дальше больше - слайд №22. Там вообще речь идёт про КВ и КА. Эти выводы делаются на основе модели нарушителя, которую делаем сами, или ФСБ жёстко регламентирует такие требования? Не совсем понятно, поясните пожалуйста.
В слайдах 21 и 22 Алексей написано верно, но ориентироваться надо на требования к классам СКЗИ относительно УЗ. А там все нормально от КС1 и выше при 3-ем типе угроз. Стращает нас автор )))))
Алексей, хотела возразить по поводу слайда 24 (приказ ФСБ).
В утвержденной версии Приказа №378 эти страшные требования были смягчены.
Для 4УЗ они теперь звучат так:
а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
И для 1 УЗ:
а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Опечатывание сейфов, же согласно Приказу, может компенсироваться наличием кодовых замков.
А что касается разъяснений РКН, то вспомнить их тоже было полезно.
В частности, возник следующий вопрос. Записи системы видеонаблюдения не являются биометрическими ПДн, если не используются оператором для установления личности того, кто на них записан. Но являются ли они в тоже время просто ПДн и попадают ли под действие закона №152-ФЗ? Т.е. есть ли необходимость включать их в перечень ПДн (в том числе в уведомление в РКН), устанавливать цели их обработки,обосновывать наличие правового основания обработки (согласие посетителя, работника)?
Максим: квалифицированный криптограф - это КВ, а opensource - это КА
xenobius: я исхожу из реалий моделирования угроз. Разумеется, на практике все забьют болт, в очередной раз превратив ИБ в профанацию, чего ФСБ и добивается
stan99: читать надо весь приказ целиком, а не только привязку к УЗ. ФСБ вообзе наплевать на УЗ, они исторически привязывались только к модели нарушителя
Lubov: а чем смягчили?
Запись видеонаблюдения сами по себе не содержат ПДн в большинстве случаев
Алексей, смягчили, потому что ежедневное опечатывание помещений и сейфов, как правило, пугает больше, чем использование охранной сигнализации, которая у большинства компаний уже есть.
Другое дело, что чаще используются объемные датчики, нежели датчики сигнализации на дверях и окнах. Кстати, интересно, допускает ли ФСБ такой вариант или будет жестко требовать оборудования сигнализацией именно окон и дверей...
"опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений"
Оупенспейс еще не самое страшное, ну будет одно большое помещение, хуже, если реализован удаленный доступ к ИСПДн с мобильных устройств. Тут шифрование требуется обязательно, причем как канала, так и информации на самом устройстве, а данные требования выполнить возможным не представляется.
Алексей, доброго дня!
ReplyDeleteЕще раз перечитал разъяснения по биометрии.
Т.е. получается компанию Apple, Samsung, и пр., кто испольует сканер отпечатка пальца, можно штрафовать, т.к. согласия письменного у субъекта на использвоание отпечатка для аутентификации они не получали?
Алексей, а когда уже наконец выйдет в свет порядок моделирования угроз безопасности...? Заждались.
ReplyDeleteпара вопросов, если позволите.
ReplyDelete1. слайд 22, OpenSource. Если мы и так вляпываемся в КВ из-за реальности угрозы привлечения квалифицированного криптографа - чем нам тогда мешает OpenSource? Хуже уже не станет.
2. слайд 58. Чипы на картах. Да, такой пункт есть - но он один из многих других. Если банк не перестанет выпускать карты без EMV то ? практически уверен, у всех банков оценка по 382-П не равна 1. Ну станет оценка чуть хуже - опять же, можно вытянуть за счет другой оценки.
Или у Вас есть информация, что конкретно это пункт будет оцениваться как-то отдельно?
Добрый день, Алексей!
ReplyDeleteСлайд №21. Всё таки не совсем понятно, почему именно ФСБ ограничил применение СКЗИ для защиты ПДн не ниже КС3. Это только потому, что мы можем считать (опять же - на основе модели нарушителя которую сами делали?), что нарушитель может получить доступ к СВТ? Дальше больше - слайд №22. Там вообще речь идёт про КВ и КА. Эти выводы делаются на основе модели нарушителя, которую делаем сами, или ФСБ жёстко регламентирует такие требования? Не совсем понятно, поясните пожалуйста.
В слайдах 21 и 22 Алексей написано верно, но ориентироваться надо на требования к классам СКЗИ относительно УЗ. А там все нормально от КС1 и выше при 3-ем типе угроз. Стращает нас автор )))))
ReplyDeleteАлексей, хотела возразить по поводу слайда 24 (приказ ФСБ).
ReplyDeleteВ утвержденной версии Приказа №378 эти страшные требования были смягчены.
Для 4УЗ они теперь звучат так:
а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
И для 1 УЗ:
а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Опечатывание сейфов, же согласно Приказу, может компенсироваться наличием кодовых замков.
А что касается разъяснений РКН, то вспомнить их тоже было полезно.
ReplyDeleteВ частности, возник следующий вопрос. Записи системы видеонаблюдения не являются биометрическими ПДн, если не используются оператором для установления личности того, кто на них записан. Но являются ли они в тоже время просто ПДн и попадают ли под действие закона №152-ФЗ? Т.е. есть ли необходимость включать их в перечень ПДн (в том числе в уведомление в РКН), устанавливать цели их обработки,обосновывать наличие правового основания обработки (согласие посетителя, работника)?
Илья: хороший вопрос :-)
ReplyDeleteИгорь: скоро, уже идет вычитка
Максим: квалифицированный криптограф - это КВ, а opensource - это КА
xenobius: я исхожу из реалий моделирования угроз. Разумеется, на практике все забьют болт, в очередной раз превратив ИБ в профанацию, чего ФСБ и добивается
stan99: читать надо весь приказ целиком, а не только привязку к УЗ. ФСБ вообзе наплевать на УЗ, они исторически привязывались только к модели нарушителя
Lubov: а чем смягчили?
Запись видеонаблюдения сами по себе не содержат ПДн в большинстве случаев
Алексей, смягчили, потому что ежедневное опечатывание помещений и сейфов, как правило, пугает больше, чем использование охранной сигнализации, которая у большинства компаний уже есть.
ReplyDeleteДругое дело, что чаще используются объемные датчики, нежели датчики сигнализации на дверях и окнах. Кстати, интересно, допускает ли ФСБ такой вариант или будет жестко требовать оборудования сигнализацией именно окон и дверей...
Так опечатывание помещений осталось
ReplyDeleteПочему, там же или стоит:
ReplyDelete"опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений"
А если openspace?
ReplyDeleteОупенспейс еще не самое страшное, ну будет одно большое помещение, хуже, если реализован удаленный доступ к ИСПДн с мобильных устройств. Тут шифрование требуется обязательно, причем как канала, так и информации на самом устройстве, а данные требования выполнить возможным не представляется.
ReplyDeleteШифрование не является обязательным
ReplyDelete