Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
23.10.14
Что нас ждет в отечественном законодательстве по ИБ?
На мероприятии в Челябинске выступал с презентацией, в которой свел воедино ключевые изменения законодательства по ИБ и ПДн последнего времени и вкратце рассказал о том, что нас ждет в ближайший год-полтора.
Алексей, доброго дня! Еще раз перечитал разъяснения по биометрии. Т.е. получается компанию Apple, Samsung, и пр., кто испольует сканер отпечатка пальца, можно штрафовать, т.к. согласия письменного у субъекта на использвоание отпечатка для аутентификации они не получали?
пара вопросов, если позволите. 1. слайд 22, OpenSource. Если мы и так вляпываемся в КВ из-за реальности угрозы привлечения квалифицированного криптографа - чем нам тогда мешает OpenSource? Хуже уже не станет. 2. слайд 58. Чипы на картах. Да, такой пункт есть - но он один из многих других. Если банк не перестанет выпускать карты без EMV то ? практически уверен, у всех банков оценка по 382-П не равна 1. Ну станет оценка чуть хуже - опять же, можно вытянуть за счет другой оценки. Или у Вас есть информация, что конкретно это пункт будет оцениваться как-то отдельно?
Слайд №21. Всё таки не совсем понятно, почему именно ФСБ ограничил применение СКЗИ для защиты ПДн не ниже КС3. Это только потому, что мы можем считать (опять же - на основе модели нарушителя которую сами делали?), что нарушитель может получить доступ к СВТ? Дальше больше - слайд №22. Там вообще речь идёт про КВ и КА. Эти выводы делаются на основе модели нарушителя, которую делаем сами, или ФСБ жёстко регламентирует такие требования? Не совсем понятно, поясните пожалуйста.
В слайдах 21 и 22 Алексей написано верно, но ориентироваться надо на требования к классам СКЗИ относительно УЗ. А там все нормально от КС1 и выше при 3-ем типе угроз. Стращает нас автор )))))
Алексей, хотела возразить по поводу слайда 24 (приказ ФСБ).
В утвержденной версии Приказа №378 эти страшные требования были смягчены.
Для 4УЗ они теперь звучат так:
а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
И для 1 УЗ:
а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Опечатывание сейфов, же согласно Приказу, может компенсироваться наличием кодовых замков.
А что касается разъяснений РКН, то вспомнить их тоже было полезно.
В частности, возник следующий вопрос. Записи системы видеонаблюдения не являются биометрическими ПДн, если не используются оператором для установления личности того, кто на них записан. Но являются ли они в тоже время просто ПДн и попадают ли под действие закона №152-ФЗ? Т.е. есть ли необходимость включать их в перечень ПДн (в том числе в уведомление в РКН), устанавливать цели их обработки,обосновывать наличие правового основания обработки (согласие посетителя, работника)?
Максим: квалифицированный криптограф - это КВ, а opensource - это КА
xenobius: я исхожу из реалий моделирования угроз. Разумеется, на практике все забьют болт, в очередной раз превратив ИБ в профанацию, чего ФСБ и добивается
stan99: читать надо весь приказ целиком, а не только привязку к УЗ. ФСБ вообзе наплевать на УЗ, они исторически привязывались только к модели нарушителя
Lubov: а чем смягчили?
Запись видеонаблюдения сами по себе не содержат ПДн в большинстве случаев
Алексей, смягчили, потому что ежедневное опечатывание помещений и сейфов, как правило, пугает больше, чем использование охранной сигнализации, которая у большинства компаний уже есть.
Другое дело, что чаще используются объемные датчики, нежели датчики сигнализации на дверях и окнах. Кстати, интересно, допускает ли ФСБ такой вариант или будет жестко требовать оборудования сигнализацией именно окон и дверей...
"опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений"
Оупенспейс еще не самое страшное, ну будет одно большое помещение, хуже, если реализован удаленный доступ к ИСПДн с мобильных устройств. Тут шифрование требуется обязательно, причем как канала, так и информации на самом устройстве, а данные требования выполнить возможным не представляется.
Алексей, доброго дня!
ОтветитьУдалитьЕще раз перечитал разъяснения по биометрии.
Т.е. получается компанию Apple, Samsung, и пр., кто испольует сканер отпечатка пальца, можно штрафовать, т.к. согласия письменного у субъекта на использвоание отпечатка для аутентификации они не получали?
Алексей, а когда уже наконец выйдет в свет порядок моделирования угроз безопасности...? Заждались.
ОтветитьУдалитьпара вопросов, если позволите.
ОтветитьУдалить1. слайд 22, OpenSource. Если мы и так вляпываемся в КВ из-за реальности угрозы привлечения квалифицированного криптографа - чем нам тогда мешает OpenSource? Хуже уже не станет.
2. слайд 58. Чипы на картах. Да, такой пункт есть - но он один из многих других. Если банк не перестанет выпускать карты без EMV то ? практически уверен, у всех банков оценка по 382-П не равна 1. Ну станет оценка чуть хуже - опять же, можно вытянуть за счет другой оценки.
Или у Вас есть информация, что конкретно это пункт будет оцениваться как-то отдельно?
Добрый день, Алексей!
ОтветитьУдалитьСлайд №21. Всё таки не совсем понятно, почему именно ФСБ ограничил применение СКЗИ для защиты ПДн не ниже КС3. Это только потому, что мы можем считать (опять же - на основе модели нарушителя которую сами делали?), что нарушитель может получить доступ к СВТ? Дальше больше - слайд №22. Там вообще речь идёт про КВ и КА. Эти выводы делаются на основе модели нарушителя, которую делаем сами, или ФСБ жёстко регламентирует такие требования? Не совсем понятно, поясните пожалуйста.
В слайдах 21 и 22 Алексей написано верно, но ориентироваться надо на требования к классам СКЗИ относительно УЗ. А там все нормально от КС1 и выше при 3-ем типе угроз. Стращает нас автор )))))
ОтветитьУдалитьАлексей, хотела возразить по поводу слайда 24 (приказ ФСБ).
ОтветитьУдалитьВ утвержденной версии Приказа №378 эти страшные требования были смягчены.
Для 4УЗ они теперь звучат так:
а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
И для 1 УЗ:
а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Опечатывание сейфов, же согласно Приказу, может компенсироваться наличием кодовых замков.
А что касается разъяснений РКН, то вспомнить их тоже было полезно.
ОтветитьУдалитьВ частности, возник следующий вопрос. Записи системы видеонаблюдения не являются биометрическими ПДн, если не используются оператором для установления личности того, кто на них записан. Но являются ли они в тоже время просто ПДн и попадают ли под действие закона №152-ФЗ? Т.е. есть ли необходимость включать их в перечень ПДн (в том числе в уведомление в РКН), устанавливать цели их обработки,обосновывать наличие правового основания обработки (согласие посетителя, работника)?
Илья: хороший вопрос :-)
ОтветитьУдалитьИгорь: скоро, уже идет вычитка
Максим: квалифицированный криптограф - это КВ, а opensource - это КА
xenobius: я исхожу из реалий моделирования угроз. Разумеется, на практике все забьют болт, в очередной раз превратив ИБ в профанацию, чего ФСБ и добивается
stan99: читать надо весь приказ целиком, а не только привязку к УЗ. ФСБ вообзе наплевать на УЗ, они исторически привязывались только к модели нарушителя
Lubov: а чем смягчили?
Запись видеонаблюдения сами по себе не содержат ПДн в большинстве случаев
Алексей, смягчили, потому что ежедневное опечатывание помещений и сейфов, как правило, пугает больше, чем использование охранной сигнализации, которая у большинства компаний уже есть.
ОтветитьУдалитьДругое дело, что чаще используются объемные датчики, нежели датчики сигнализации на дверях и окнах. Кстати, интересно, допускает ли ФСБ такой вариант или будет жестко требовать оборудования сигнализацией именно окон и дверей...
Так опечатывание помещений осталось
ОтветитьУдалитьПочему, там же или стоит:
ОтветитьУдалить"опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений"
А если openspace?
ОтветитьУдалитьОупенспейс еще не самое страшное, ну будет одно большое помещение, хуже, если реализован удаленный доступ к ИСПДн с мобильных устройств. Тут шифрование требуется обязательно, причем как канала, так и информации на самом устройстве, а данные требования выполнить возможным не представляется.
ОтветитьУдалитьШифрование не является обязательным
ОтветитьУдалить