31.12.14

Новогоднее обращение Алексея Лукацкого

Уважаемые коллеги, друзья, соратники, читатели блога! С наступающим (а кого-то уже и с наступившим) Новым годом! Пусть он будет безопасным!!! Ура!!!


За сим откланиваюсь и прощаюсь! До встреч в новом году, который будет непростым, но интересным и насыщенным! Всех благ!

ЗЫ. Посмотрел запись - получилось как0то депрессивно :-( Звиняйте, если что. Будем исправляться :-) Но уже в новом, 2015-м году овцы!

ЗЗЫ. Кстати! Если верить гороскопам, то в политическом и финансовом отношении год будет близок к катастрофе... Но все будет спасено и равновесие восстановится потихоньку, независимо от некоторого отсутствия благоразумия и компетентности.

ЗЗЗЫ. А еще есть "овечья" фирма, специализирующая в области ИБ - Wall of Sheep :-)


Предсказания иностранных ИБ-вендоров на 2015 год

Вчера я прошелся по основным прогнозам 2015-го года, сделанными отечественными специалистами и компаниями, занимающимися информационной безопасностью. Сегодня, как я и обещал, я пройдусь по прогнозам, которые делают иностранные компании. Но я решил не мешать всех в одну кучу, а разбить предсказания на две части - сделанные производителями средств защиты и независимыми экспертами, порталами и изданиями. Сегодня поговорим о трендах, которые видятся именно зарубежным разработчикам (McAfee, Websense, Palo Alto, Sophos и т.п.), а точнее:

Явным лидером, с почти двукратным отрывом, является безопасность Всеобъемлющего Интернета (Internet of Everything) или, как его часто еще называют, Интернета вещей (Internet of Things). А вот среди отечественных прогнозов эта тема занимает всего лишь третье место (наряду с другими тенденциями, разделившими с ней место). Но оно и понятно - у нас даже тема защиты АСУ ТП (а это тоже часто IoT) только-только выходит на первый план, а уж про остальные направления Интернета вещей и говорить не приходится. Поэтому Россия в этом плане немного отстает от западных стран.

Второе место делят сразу три прогноза:

  • Безопасность мобильного доступа и BYOD. У нас этот тренд также занимал второе место. Пожалуй, это тот редкий случай, когда прогнозы российских и иностранных экспертов совпали.
  • Рост угрозы со стороны программ-вымогателей (ransomware). Криптолокеры будут развиваться и расширяться на новые платформы. Эксперты предполагают, что помимо угрозы уничтожения зашифрованных данных в случае отказа от оплаты, злоумышленники начнут использовать угрозу придания гласности зашифрованных данных.
  • Использование уязвимостей в решениях open source и открытых протоколах и библиотеках. POODLE, Shellshock, Heartbleed... Кто дальше? 
На третьем месте у иностранных производителей всего 2 прогноза - связанный с последним выше трендом рост внимания к теме безопасности программного обеспечения (сканирование, SDLC и т.п.), а также безопасность облачных вычислений.

Завершают список самых популярных прогнозов тройка, состоящая из:
  • роста Интернет-мошенничества и атак на мобильные платежные системы
  • роста прессинга со стороны регуляторов в отношении защиты данных (это, оказывается, проблема не только наша, но и общемировая)
  • роста угроз со стороны государств и спецслужб. 

Если сравнить прогнозы россиян и иностранцев, то картина выглядит следующим образом:


Как мы видим, общего не так уж и много, а значит надо внимательно смотреть на то, что вам предлагают иностранные компании, интересны которых могут быть отличными от ваших, а значит и предлагаемые ими решения, могут отличаться от ваших потребностей.

У нас еще остается анализ прогнозов независимых экспертов, компаний и изданий, но его я оставлю уже на послепраздничные дни. Врядли кто-то готов изучать эти прогнозы завтра, в первый день нового года. Я не уверен, что и эту-то заметку кто-то читает :-)

ЗЫ. Последнее обновление от 13-го января 2015-го года

30.12.14

Отечественные предсказания в области ИБ на 2015 год

Конец года... Принято делать прогнозы и предсказания (в зависимости от уровня обоснованности). Я свои сделал на онлайн-семинаре для BISA. Но так как я не являюсь истиной в последней инстанции, то для оценки реальности того, что в действительности может произойти, я решил проанализировать прогнозы, которые делались в России в области ИБ на 2015-й год. К моему удивлению я нашел не так уж и много таких источников. Как правило, у нас перепечатывают иностранные источники - IDC, Gartner, Trend Micro, McAfee и т.п. Но есть немного и отечественных "ИБ-пророков":
Надо понимать, что некоторые прогнозы либо написаны второпях и поэтому неполны, либо отражают направление деятельности компании, в которой работает "пророк". Поэтому сложно приводить всех к единому знаменателю. Но все-таки... Явными лидерами среди прогнозов (в количественном выражении) являются следующие:

1-е место:
  • Рост числа целенаправленных угроз (APT). Явный лидер
2-е место
  • Рост внимания к безопасности критических инфраструктур
  • Рост внимания к безопасности мобильного доступа (BYOD)
  • Закручивание гаек в Интернет
  • Импортозамещение и курс на цифровой суверенитет
  • Развитие направления DLP, особенно для облаков и мобильных устройств
  • Рост числа Интернет-мошенничества
3-е место
  • Атаки на банкоматы, PoS-терминалы, киоски оплаты
  • Борьба с угрозами со стороны иностранных государств (пост-Сноуденовская эра)
  • Запрет хранения ПДн россиян за границей
  • ИБ виртуализации
  • ИБ облачных вычислений
  • ИБ Всеобъемлющего Интернета (Интернета вещей)
  • Милитаризация темы информационной безопасности (кибервойны, Военная доктрина и т.п.)
  • Экономический кризис и, как следствие, отказ от ряда проектов по ИБ, развитие финансовых схем продажи ИБ, повышение эффективности уже приобретенных продуктов и сервисов по ИБ, рост интереса к ИБ на open source, рост числа внутренних нарушений, сокращение бюджетов на ИБ
  • Рост интереса к сервисам расследования ИБ и появление центров реагирования на инциденты (CSIRT).
Понятно, что это не все, что нам грозит. Таже тема compliance в области ПДн, рост числа проверок, безопасность НПС/НСПК и т.п. Они не набрали более одного голоса (моего), но это не значит, что эти темы не будут в фокусе в грядущем году. Просто не хватило достаточного количества экспертов.

Западных прогнозов гораздо больше - они делаются как производителями средств защиты, так и отдельными экспертами, изданиями и порталами. Я постарался свести все найденное в два списка, анализ которого выложу уже завтра. Заранее отмечу, что иностранцы гораздо более активны и разнообразны в этом плане - я насчитал около сотни разных прогнозов.

Зарубежные вендорские прогнозы:

Зарубежные "независимые" прогнозы:
ЗЫ. Последнее обновление: 13-го января 2015 года

29.12.14

Новая Военная доктрина РФ в контексте информационной безопасности

Президент Путин утвердил новую Военную доктрину Российской Федерации, которая была обновлена под влиянием происходящих в последнее время вокруг России событий. Не берясь за полный анализ того, что написано в этом доктринальном документе, хочу тезисно обратить внимание на моменты, относящиеся к теме информационной безопасности.
  1. Традиционные для нас угрозы ИБ Доктрина относит к понятию "военная опасность", четко отделив их от понятия "военная угроза". Согласно Доктрине "военная опасность" - это "состояние межгосударственных или внутригосударственных отношений, характеризуемое совокупностью факторов, способных при определенных условиях привести к возникновению военной угрозы", а "военная угроза" - это "состояние межгосударственных или внутригосударственных отношений, характеризуемое реальной возможностью возникновения военного конфликта между противостоящими сторонами, высокой степенью готовности какого-либо государства (группы государств), сепаратистских (террористических) организаций к применению военной силы (вооруженному насилию)". Иными словами, традиционные угрозы ИБ сами по себе не могут быть военной угрозой, а всего лишь сопутствуют их проявлению. Но есть и исключение, которое только подтверждает, что тема спецопераций в киберпространстве не до конца проработана была при подготовке нынешней Военной доктрины.
  2. Угрозы ИБ могут быть отнесены к военным угрозам, если они воспрепятствуют "работе систем государственного и военного управления Российской Федерации, нарушение функционирования ее стратегических ядерных сил, систем предупреждения о ракетном нападении, контроля космического пространства, объектов хранения ядерных боеприпасов, атомной энергетики, атомной, химической, фармацевтической и медицинской промышленности и других потенциально опасных объектов". Тут мы опять наталкиваемся на классическую проблему с терминологией в области критически важных (потенциально опасных) объектов. Почему воспрепятствование работе систем фармацевтической промышленности представляет военную угрозу, а воспрепятствование системам управления транспортом (что для России с ее территориями, через которые надо во время военных конфликтов или войн перебрасывать войска, технику, продовольствие, является более чем актуальным) нет? На мой взгляд причиной этого является неразбериха в терминологии, которая до сих пор не устаканилась. Критический важный объект, стратегически важный объект, стратегический объект, объект, имеющий стратегическое значение, важный объект, важный государственный объект, объект жизнеобеспечения, особо важный объект, специальный объект, режимный объект, потенциально опасный объект... Вот только небольшая часть схожих терминов. На кого из них распространяется Военная доктрина?.. Хотя с другой стороны приводить терминологию в области критических инфраструктур - та еще работенка. Ее не стали даже делать, когда готовили законопроект о безопасности критических инфраструктур.
  3. Военные опасности делятся на внешние и внутренние. К первым в киберпространстве относятся  "использование информационных и коммуникационных технологий в военно-политических целях для осуществления действий, противоречащих международному праву, направленных против суверенитета, политической независимости, территориальной целостности государств и представляющих угрозу международному миру, безопасности, глобальной и региональной стабильности". В данном случае можно отметить схожесть (что неудивительно) позиции с основами государственной политики в области международной информационной безопасности.
  4. К внутренним опасностям, связанным с киберпространством, относится "деятельность, направленная на дезорганизацию функционирования информационной инфраструктуры Российской Федерации".
  5. Одной из черт военного конфликта (а это понятие выше военной угрозы), является
    • применение среди прочего и информационных мер невоенного характера
    • воздействие на противника в глобальном информационном пространстве
    • централизация и автоматизация управления войсками и оружием с помощью АСУВ и АСУО.
  6. Ядерному оружию внимание в Доктрине тоже уделено, но как инструменту сдерживания региональных и крупномасштабных войн. Я, если честно, в такие войны не очен верю именно по причине наличия у многих сторон ядерного потенциала. Поэтому несложно предположить, что роль кибервойн или правильнее спецопераций в информационном пространстве будет только возрастать.
  7. Как и документ, описывающий усилия МинОбороны РФ в области кибербезопасности, Доктрина постулирует принцип ненападения, а сдерживания и предотвращения военных конфликтов. 
  8. Среди основных задач, направленных на сдерживание и предотвращение военных конфликтов "нашей" теме уделено почетное последнее место - "создание условий, обеспечивающих снижение риска использования информационных и коммуникационных технологий в военно-политических целях для осуществления действий, противоречащих международному праву, направленных против суверенитета, политической независимости, территориальной целостности государств и представляющих угрозу международному миру, безопасности, глобальной и региональной стабильности". Вполне могу допустить, что изначально этого пункта и вовсе не было, так как никто не подумал о том, как бороться с угрозами ИБ, просто продекларировав их опасность. Думаю, что первоначально с ними предполагали бороться общими фразами, которыми так изобилуют другие доктринальные документы, - партнерство в рамках ОДКБ и БРИКС, миротворчество под эгидой ООН, прогнозирование и т.п. На то, что изначально этого пункта не было, меня наталкивает и то, что в Доктрине очень много говорится о соблюдении международного права и международных договоров, а в области ИБ (или точнее МИБ) у нас с этим большая проблема. До сих пор никаких международных норм ИБ так и не было разработано и, особенно в условиях нарастания геополитического конфликта США и России, врядли в ближайшее время стоит ждать прорыва в этой области. Да и постоянная отсылка к географическим границам РФ или ее союзников тоже говорит о том, что про спецоперации в информационном пространстве (против нас или нами) никто серьезно не думал.
  9. Интересно, что среди задач Вооруженных сил, других войск и органов в мирное время тема информационной безопасности не упоминается вовсе. Такое впечатление, что авторы документа и не знали, что могут делать военные в области ИБ в мирное время. Это вам не портянки шить, и не стволы пушек до блеска драить :-) По идее стоило бы сделать отсыл к Доктрине ИБ и основам госполитики в области МИБ, но почему-то про это забыли.
  10. А вот среди задач военной организации "совершенствование системы информационной безопасности Вооруженных Сил, других войск и органов" названо явно. Это же является и основной задачей при строительстве и развитии Вооруженных Сил, других войск и органов.
  11. "Материальность" Доктрины проявляется во всем. Авторы привыкли (оно и понятно), что во время военных конфликтов речь всегда идет о чем-то материальном. Атака производится на материальный объект. Оружие - это тоже, что-то материальное. Ущерб тоже имеет вполне себе материальную природу. Поэтому в Доктрину очень сложно вписывается информационная составляющая. Иногда даже кажется, что в уже готовый "материалистичный" текст добавили несколько кибер-пунктов. Например, есть в Доктрине раздел "Задачи оснащения Вооруженных Сил, других войск и органов вооружением, военной и специальной техникой" в нем пункт "развитие сил и средств информационного противоборства". Но программное обеспечение, которое зачастую и является основном инструментом информационного противоборства (если не рассматривать тему РЭБ), с трудом может быть описано понятием "военная и спецтехника". При этом интересно, что в контексте средств информационного противоборства говорится только об их развитии, а применительно к другим видам оружия - еще и о создании. Толи у нас уже средства информационного противоборства созданы и их надо только развивать, толи авторы опять же взяли готовую заготовку и вставили ее в текст, не думая о сути.
  12. В разделе про развитие оборонно-промышленного комплекса про силы и средства информационного противоборства ни слова. Откуда же их тогда брать? С гражданского рынка?
  13. В части международного сотрудничества повторяется неоднократно звучавший в других документах тезис о развитии "диалога с заинтересованными государствами о национальных подходах к противодействию военным опасностям и военным угрозам, возникающим в связи с масштабным использованием информационных и коммуникационных технологий в военно-политических целях".
Вот такой документ. Он еще раз подтверждает мысль, которую я как-то озвучивал и описывал - человек, родившийся и обучавшийся во всяких Академиях Генштаба или Высшей школы КГБ во времена, когда компьютеры описывались только в фантастических романах или в переводах зарубежной литературы в закрытых библиотеках, не способен адекватно оценивать ни угрозы ИБ, ни то, как с ними бороться. По одной простой причине - его этому не учили, а сам он с этим не сталкивался. И чем старше он становится (а в СовБезе и Генштабе никого из поколения "Интернет" нет), тем меньше шансов на то, что он сможет переориентироваться. Это как если всю жизнь бороться с иностранными техническими разведками и защищать государственную тайну. Даже если тебе дали задание разработать меры защиты для персональных данных или коммерческой тайны, то все равно у тебя получится только СТР и все. Вот с Военной доктриной таже проблема :-(

26.12.14

Информационная безопасность 2015 в картинах Васи Ложкина

Позавчера для ассоциации BISA проводил онлайн-семинар с анализом тенденций, которые нас ждут в 2015-м году в России с точки зрения информационной безопасности. В качестве иллюстраций использовал картины Васи Ложкина. Получилось немного депрессивно, но зато честно :-) Текущая экономическая, социальная, политическая и геополитическая ситуация не дает особых надежд на позитив в целом, но по отдельности, каждый специалист и каждая компания могут извлечь из каждой тенденции свои уроки и даже попробовать их использовать во благо.



Помимо вышеприведенной презентации велась и запись, ссылку на которую тоже прилагаю. По итогам презентации была небольшая сессия вопросов и ответов, на которой было озвучено несколько тем, которые не вошли в презентацию. Возможно я на ее базе сделаю расширенную версию, но разбитую на несколько блоков, которые и буду выкладывать с озвучкой в блоге уже в январе. 

25.12.14

Становится понятно, за что будет наказывать РКН операторов ПДн

Многострадальный законопроект по штрафам за нарушение правил обработки персональных данных наконец-то был внесен Правительством в Государственную думу. Произошло это вчера. Давайте посмотрим, чем отличается то, о чем я уже писал в январе, с нынешним законопроектом. Подготавливала его

Законопроектом предусматривается полное изменение статьи 13.11 КоАП, которая теперь вместо абстрактного "нарушения порядка обработки" оперирует вполне конкретными 8-vm. составами правонарушения, в соответствии с которыми и устанавливается административная ответственность. К этим нарушениям относятся:
  1. Обработка ПДн с нарушением требований, установленных законодательством РФ  о персональных данных, к составу сведений, включаемых в согласие в письменной форме субъекта ПДн.
  2. Обработка ПДн без согласия субъекта ПДн и в отсутствие предусмотренных законодательством РФ  о персональных данных иных условий обработки.
  3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также ПДн о судимости в случаях, не предусмотренных законодательством РФ о персональных данных.
  4. Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, и сведениям о реализуемых требованиях к защите ПДн.
  5. Невыполнение оператором обязанности по предоставлению субъекту ПДн  информации, касающейся обработки его персональных данных.
  6. Невыполнение оператором в сроки, установленные законодательством РФ  о ПДн, требования субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн  об уточнении ПДн, их блокировании или уничтожении в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  7. Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанностей по соблюдению условий, обеспечивающих в соответствии с законодательством РФ о ПДн  сохранность ПДн  при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении ПДн, при отсутствии признаков уголовно наказуемого деяния.
  8. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ о ПДн обязанности по обезличиванию персональных данных, а равно несоблюдение установленных требований и методов по обезличиванию персональных данных.
Свел указанные правонарушения в таблицу с указанием штрафов по ним (убрав физлиц и индивидуальных предпринимателей) и добавив нормы законодательства, за нарушение которых и вводятся новые штрафы.



Сразу хочу отметить, что 8-й пункт возможно исчезнет из финального текста закона. Все-таки вводили его еще тогда, когда в 211-м Постановлении Правительства обезличивание было обязательным. Сейчас это не так и поэтому данный пункт большого смысла не имеет.

Законопроектом предлагается также внести изменения в КоАП, касающиеся наделения Роскомнадзора полномочиями по возбуждению дел об административных правонарушениях законодательства Российской Федерации о персональных данных. Если раньше по статье 13.11 дела возбуждались прокуратурой, то теперь РКН получит долгожданные полномочия и, вероятнее всего, активно будем ими пользоваться.

Что в итоге? Да, штрафы возрастают. Они могут суммироваться, поэтому для юрлица кумулятивная сумма штрафа может достигать 565 тысяч рублей, что на существенно больше предыдущих 10 тысяч. Да, теперь сам РКН может направлять материалы в суд, не дожидаясь когда сотрудники прокуратуры в трехмесячный срок рассмотрят полученные от РКН материалы и направят в суд. Т.е. число дел, доводимых до суда, возрастет. Да, по-прежнему остаются иные статьи КоАП, которые могут быть применены к нарушителям. Но есть и позитивные моменты.

Теперь у РКН есть четкий список правонарушений, которые повлекут за собой наказание в виде штрафа. Никакой отсебятины, никаких расширительных трактовок. Операторам тоже становится понятно, за что их будут наказывать и что будут копать в первую очередь. Да, 8 составов правонарушений - это немало. Но зато теперь понятно, на чем стоит концентрироваться в первую очередь. А это очень хорошо.

22.12.14

Обезличивание как способ "разрешения" проблемы с 242-ФЗ

Тема с запретом хранения ПДн россиян за границей уже малость поднадоела и надо ее прекращать (до начала правоприменения так уж точно). Поэтому хочу просто наметить несколько идей, на которые не распространяется действие ФЗ-242 в части хранения ПДн зарубежом.

Идея №1. Как можно говорить о гражданстве субъекта ПДн, если его об этом нигде не спрашивают, сам он не жалуется, а по заголовку IP-пакета еще не научились определять, какой герб на паспорте у его владельца. Правда, есть и другая проблема - РКН это мало волнует; особенно если есть "заказ" или не хватает "галок" :-(

Идея №2. Архивирование ПДн. Выполнение норм ФЗ-125 об архивном деле позволяет вывести архивные данные из под действия ФЗ-152, о чем прямо в законе и написано. Ну а архивировав ПДн, мы можем передавать их куда угодно и хранить где угодно.

Идея №3. Обезличивание ПДн. Это наиболее перспективная идея, на мой взгляд. По мнению самого РКН обезличивание приводит к тому, что персональные данные перестают быть таковыми.  А раз они перестают быть персональными, то и из под действия ФЗ-152/242 выпадают. А значит хранить их можно также где угодно, в т.ч. и за пределами РФ. И все в пределах закона. А обезличивать можно согласно приказу №996 самого РКН, который устанавливает критерии "хороших" методов обезличивания. Что характерно, 996-й приказ не ограничивает самих методов - вы можете придумать их самостоятельно, основываясь на критериях, предложенных самим РКН.



Идея №4. Она банальна и не нова - знайте законодательство, на котором базируется ваша деятельность. Обработка ПДн для достижения цели, предусмотренных законом или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора ПДн функций, полномочий и обязанностей, как раз и является еще одним исключением, когда можно хранить ПДн россиян за границей. Тут не так все очевидно, но тоже можно "поиграться".

Полный ответ Минкомсвязи по поводу 242-ФЗ

Меня затерроризировали просьбами выложить текст ответа Минкомсвязи по поводу действия ФЗ-242. Выкладываю... В комментах к предыдущим заметкам задавался риторический вопрос: "А зачем тогда вообще принимали 242-ФЗ, если его можно не исполнять?" Я бы хотел еще раз отметить, что ФЗ-242 посвящен не только запрету хранения ПДн россиян за границей. Он состоит из 3-х частей:

  1. Поправки в 149-ФЗ, определяющие порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства о ПДн. Наиболее объемная статья ФЗ-242.
  2. Поправки в 152-ФЗ, определяющие "запрет" на хранение ПДн россиян за границей.
  3. Поправки в 294-ФЗ, определяющие исключение вопросов надзора за ПДн и обработкой информацией в Интернет из 294-ФЗ.

Вот именно последняя поправка и является наиболее опасной на мой взгляд, так как после ее вступления в силу РКН уже не будет должен согласовать свои плановые и внеплановые проверки с прокуратурой, не будет ограничен 20-тью днями, не будет ограничен одной плановой проверкой раз в три года и т.п.

Но вернемся к запрету хранения ПДн. Насколько позицией Минкомсвязи можно пользоваться? Хочу отметить, что на фоне ответа Администрации Президента в сторону Ассоциации европейского бизнеса ответ Минкомсвязи не является истиной в последней инстанции, как бы не хотелось так считать. И даже при условии, что речь идет о органе исполнительной власти, определяющем государственную политику в области обработки ПДн. Все-таки Администрация Президента есть администрация самого Гаранта Конституции.

Второй комментарий касается предпоследнего абзаца данного ответа. Минкомсвязь правильно отмечает, что они не уполномочены (как и РКН, как и Администрация Президента) трактовать и толковать законодательство и высказывают только свое мнение. Кстати, в ответе РКН, который я приводил ранее, нет этой приписки - Роскомнадзор, не стесняясь, трактует законодательство, считая свою позицию истиной в последней инстанции.

Поэтому остается только самостоятельно взвешивать все риски для операторов ПДн и ждать правоприменительной практики, о чем и написал в своем ответе МИД.






18.12.14

Ответ Минкомсвязи по поводу реализации 242-ФЗ: окончание триптиха

Вчера Государственная дума, как обычно, в спешном порядке приняла сразу в двух чтениях законопроект о переносе срока вступления в силу запрета на хранение ПДн россиян за границей. Теперь этот срока наступает 1-го сентября 2015-го года, т.е. на год раньше запланированного. Попутно с 1-го сентября 2015-го года наступает и срок, когда РКН выходит из под действия ФЗ-294 о защите прав юридических лиц при осуществлении государственного контроля (надхора). И поскольку питавшие меня надежды на то, что депутаты все-таки одумаются и им хотя бы кто-нибудь озвучит несуразность запрета (а как мы помним, госорганам, которых закон напрямую затрагивает, пофигу), не оправдались, то пора рассмотреть ответ Минкомсвязи на заданные мной в сентябре вопросы.

Первый сделанный Минкомсвязью тезис звучит так: субъект имеет право передавать ПДн кому угодно, в т.ч. и иностранным госорганам, юрлицам, организациям и физлицам, как находящимся на территории РФ, так и находящимся за ее пределами.


Второй вывод органа исполнительной власти, уполномоченного определять государственную политику в области защиты прав субъектов ПДн, звучит также обнадеживающе - отечественный оператор ПДн вправе поручить обработку ПДн иностранному оператору ПДн.


Минкомсвязь закономерно считает, что ИСПДн может быть распределенной и часть ее элементов может находиться за пределами РФ.


Минкомсвязь не считает невозможным применять дублирующие базы данных, находящихся на территории РФ (или за ее территорией).


Дальше Минкомсвязь подтверждает тезим представителя РКН о том, что ФЗ-152 действует только на территории Российской Федерации, а Конвенция имеет приоритет над ФЗ-152. При этом наказать иностранное юридическое лицо, якобы "нарушившее" положения ФЗ-152, но за пределами РФ, нельзя.


И, наконец, финальным аккордом Минкомсвязь является подтверждение известного принципа "закон обратной силы не имеет" и что на правоотношения с иностранными лицами, ведущими базы данных ПДн, оформленные до вступления в силу ФЗ-242 (т.е. до 1-го сентября 2015-го года), положения ФЗ-242 не распространяются.


Надо признать, что ответ Минкомсвязи из всех полученных от разных ФОИВов, включая и Роскомнадзор, мне понравился больше всего. И не только потому, что он разрешает обработку ПДн за пределами РФ при наличии согласия субъекта и соблюдении требования по обеспечению безопасности ПДн, но и потому что ответ Минкомсвязи опирается на действующее законодательство и все разъяснения ссылаются на нормы законодательства - Конституции, Гражданского Кодекса, ФЗ-152, ФЗ-242 и т.п. А учитывая, что именно Минкомсвязь у нас является главенствующим органом исполнительной власти, определяющим государственную политику в области ПДн, этот факт придает ответу регулятора еще больший вес, чем ответам всех остальных регуляторов вместе взятых.

17.12.14

Что мне ответили госорганы на запрос о запрете хранения ПДн россиян за границей?

Вчера я обещал рассказать о том, что мне ответили органы исполнительной власти относительно моего запроса о том, как быть, если ФЗ-242 вступит в силу и тем более, если законопроект о переносе срока на 1-е января 2015-го года депутаты все-таки примут. Надо признать, что ответы почти от всех госорганов были ожидаемые :-)

Большинство госорганов признает, что не обладает полномочиями по коммеентированию федерального законодательства. Меня всегда удивляло, как эти госорганы могут работать по этим законам и исполнять их, если они не могут их комментировать? Вопрос, конечно, риторический. На мое удивление, но большинство госорганов, которые, по идее, должны быть знакомы с иерархией органов власти и зонами ответственности каждого из них (хотя бы на уровне знания положений о службах и министерствах), не знали, что государственной политикой в сфере персональных данных у нас занимается Минкомсвязь, а не Роскомнадзор, являющийся подчиненным Минкомсвязи ведомством.

Ответ Миназдравсоцразвития
С другой стороны, я не помню, чтобы Минкомсвязь публично когда-то заявлял о своем главенстве в этой сфере. Это повелось еще со времен Щеголева, который имел очень смутное представление о том, что такое ФЗ-152 и какие отношения он регулирует. Нынешний молодой министр подхватил эту же болезнь и за все время своего управления отраслью ни разу не высказался по данному вопросу и не выступил с инициативой по изменению ФЗ-152. Исключение, пожалуй, составили последние месяцы, когда политическая ситуация заставила министра регулярно делать заявления по поводу угрозы со стороны иностранных спецслужб и необходимости защитить права россиян при использовании зарубежных Интернет-ресурсов. Наверное, именно ввиду полной безвольности в этом вопросе, многие запрошенные мной госорганы направляли меня в Роскомнадзор, а не в Минкомсвязь.

Ответ Минобрнауки
Хотя были и исключения из данного правила...

Ответ Ростуризма
Понравился мне ответ Росавиации, которая правильно мне "указала", что ФЗ-242 вступает в силу только в сентябре 2016-го года, а комментировать потуги депутатов, которые могут еще и не произвести на свет ничего кроме пшика, солидный госорган не будет.

Ответ Росавиации
Аналогичный ответ мне пришел по почте и от Министерства иностранных дел, которое ответило, что тема персональных данных в России находится в ведении Минкомсвязи и что правоприменительная практика по ФЗ-242 отсутствует ввиду его невступления в силу. Комментировать ненаступившее будущее МИД тоже не захотел.

Среди пришедших ответов был и документ от Роскомнадзора. И хотя я его не запрашивал ни о чем, подозревая об ответе (да и отсутствие ответа на мой запрос будучи членом Консультативного Совета РКН говорил сам за себя), мой запрос был переправлен рядом госорганов именно Роскомнадзору и ему пришлось мне отвечать. Правда, целую страницу своего ответа (из двух) РКН посвятил разъяснению того, что является жалобой, заявление, предложением гражданина при общении с государством. В моем запросе г-жа Приезжева (а ответ был подписан именно ею) не углядела ни заявления, ни предложения, ни жалобы, ни ущемления моих прав (и это действительно так).

Что касается ответа по существу, то РКН посчитал, что:

  1. Упомянутый мной "по сути" запрет на трансграничную передачу ПДн не соответствует действительности, т.к. ФЗ-242 не трогает 12-ю статью ФЗ-152, посвященную как раз трансграничной передаче. Формально г-жа Приезжева права, а вступать со мной в полемику по поводу того, как работает Интернет и как можно передавать что-то за пределы РФ без хранения "там", представитель Роскомнадзора не захотела (Роман Валерьевич Шередин был гораздо более открытым в этом плане и готов был дискутировать, соглашаться или нет). 
  2. В невозможности бронировать гостиницы, лечиться зарубежом, учиться в иностранных ВУЗах, посещать зарубежные мероприятия г-жа Приезжева также никаких ограничений прав граждан не усмотрела. Видимо чиновники живут по каким-то своим законам и не регистрируются нигде при посещении иностранных государств, включая и сопредельных соседей по ШОС, ОДКБ и СНГ.
  3. На мой вопрос о дублирующих базах ПДн, Роскомнадзор ответил, что такого понятия, как "дублирующая база данных" законодательство не содержит, а посему и ответить они не могут.
  4. Конфликта ФЗ-242 и Евроконвенции г-жа Приезжева также не углядела, так как по ее мнению, ФЗ-242 не вносит изменений в статью 12 ФЗ-152, который регулирует вопросы трансграничной передачи ПДн.
Однако было во всем ответе Роскомнадзора и одно здравое зерно. Заключалось оно в том, что ФЗ-152 действует только на территории РФ и таким образом обработка ПДн, которая ведется за пределами РФ, регулируется нормативными актами тех стран, в которых эта обработка и осуществляется.

Ответ Роскомнадзора
Но и это еще не все, наиболее интересным среди всех ответов мне показалось письмо из Минкомсвязи, о котором я расскажу уже завтра.

16.12.14

Как я писал письма в госорганы по поводу 242-ФЗ о запрете хранения ПДн россиян за границей

В сентябре 2014-го года российские депутаты, спустя всего месяц с момента принятия 242-ФЗ, который сразу же был окрещен законом о запрете хранения персональных данных россиян заграницей, одумались и решили перенесии срок, установленный первоначальное версией закона с 1-го сентября 2016-го года... на 1 января 2015-го. Быстро пройдя первое чтение, а за ним и второе, депутаты получили сигнал сверху охолониться и на время умерили свою прыть в части принятия законопроекта №596277-6 "О внесении изменения в статью 4 Федерального закона "О внесении изменений в отельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" в 3-м чтении.

К этому моменту уже стал известен в широких кругах запрос Ассоциации европейского бизнеса, направленный сразу нескольким регуляторам, включая Роскомнадзор и Администрацию Президента. В своем запросе АЕБ спрашивала будет ли законной обработка ПДн россиян за границей, если в РФ будут находиться дублирующие БД, если эти данные направлены зарубеж самими субъектами или операторами ПДн на законных основаниях, или если эти данные передаются зарубеж на основании международных договоров? Ответ по существу был дан только Администрацией Президента и на все вопросы, если кратко сформулировать пространные ответы, был дан ответ "нет".

Опираясь на полученные ответы, приведенные в СМИ, я сформировал свои вопросы:
  1. Возможно ли хранить персональные данные граждан Российской Федерации за ее пределами при условии наличия дублирующей (копии) базы данных персональных данных на территории Российской Федерации, либо обработка персональных данных на территории другого государства в принципе запрещена?
  2. Возможна ли обработка персональных данных российских граждан на территории стран ЕвразЭС или стран, обеспечивающих адекватную защиту прав субъектов персональных данных в терминах 12-й статьи Закона?
  3. Применяется ли закон экстерриториально и должны ли те лица, в том числе и нерезиденты РФ, которым операторы или непосредственно сами субъекты персональных данных передают свои персональные данные на законных основаниях, также обрабатывать полученные персональные данные на территории Российской Федерации?
  4. Ратификация Российской Федерацией Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных (160-ФЗ от 19.12.2005) приводит к конфликту между Законом и Конвенцией, так как согласно последней сторона Конвенции не должна запрещать трансграничные потоки персональных данных, идущие на территорию другой стороны. Следует ли в данной ситуации следовать положениям Закона или положениям ратифицированной Конвенции, которая, согласно ст.4 Закона имеет бОльшую юридическую силу?
  5. Распространяется ли Закон на персональные данные российских граждан, которые были переданы за пределы Российской Федерации на законных основаниях, до вступления в силу Закона.
Памятуя ответ РКН и Администрации Президента, я не стал направлять свой вопрос им, сосредоточившись на других органах исполнительной власти. В частности я направил свой запрос в МИД России, Минобрнауки, Рособразование, Минюст, Минздравсоцразвития, Ростуризм, Росавиацию, Минтранс, Правительство России, Президенту России и Минкомсвязи.

В МИД, Минюст, Минкомсвязь, Правительство и Президенту я направил список вопросов выше, а остальным госорганам модифицированные вопросы, исходя из сферы их деятельности и с учетом особенностей обработки ПДн за границей:

  • Использование авиационного, морского, железнодорожного и автомобильного транспорта (например, бронирование авиабилетов или аренда автомобиля)
  • Образование (например, обучение в иностранном ВУЗе)
  • Лечение (например, получение медицинской помощи в иностранном медицинском учреждении, в том числе и во время отдыха)
  • Отдых (например, оформление путевок на отдых на иностранных курортах)
  • Осуществление покупок (например, приобретение товаров в Интернет-магазинах)
  • Бронирование гостиниц и транспорта
  • Посещение мероприятий, включая официальные.

30 сентября мои запросы были направлены. А о том, какие ответы я получил, я напишу уже завтра...

11.12.14

Cisco покупает Neohapsis, а Belden покупает Tripwire

Вчера произошло два знаменательных на рынке поглощений ИБ события. Во-первых, Cisco купила частную американскую компанию Neohapsis, известную своими сервисами по ИБ для компаний Fortune 500. В России данная компания известна скорее своими исследованиями и разработанными инструментами для различных задач по безопасности. Размер сделки не сообщается.

Вторым событием стала приобретение за 710 миллионов долларов компанией Belden компании Tripwire. Обе компании мало знакомы российским потребителям, но широко известны в мировой индустрии ИБ. Belden известна на рынке индустриальных решений и, в частности, ей принадлежит бренд Tofino Security - производитель индустриальных межсетевых экранов, которые поставляются в том числе и в Россию. Ну а Tripwire - это вообще ветеран рынка ИБ, начавший свой путь с системы контроля целостности, а сейчас предлагающий и системы управления конфигурацией, и системы анализа защищенности, и системы анализа журналов регистрации.

3.12.14

Intel покупает PasswordBox

1 декабря компания Intel объявила о приобретении канадской компании PasswordBox, известной своим менеджером паролей. Детали сделки не разглашаются.

Вслед за Alcatel-Lucent компания Juniper также прощается с продуктами по ИБ

В 2011-м году компания Alcatel-Lucent приняла решение об оптимизации своей стратегии и продуктовой линейки, что повлекло за собой продажу своего бизнеса безопасности французской Thales. Я об этом писал в ноябре этого года. И вот аналогичное решение приняла другая телекоммуникационная компания - Juniper.

В июле 2014 Juniper уже продала свой бизнес мобильной безопасности и вот пришел черед другим продуктовым линейкам по ИБ. Представитель Juniper заявил, что разработка таких линеек как FireFly Host, WebApp Secure и DDoS Secure будет прекращена (останется только поддержка). Судя по комментариям, с остальными ИБ-продуктами тоже не все просто - вендор признает, что конкурировать с Cisco, Check Point и другими компаниями им сложно.

1.12.14

Отдаю идею разработчикам DLP

Одна из распространенных проблем при внедрении DLP-решений - непонимание того, что мы хотим контролировать. У безопасников свой взгляд на то, чему надо учить DLP, у бизнеса свой. Хотя понятие "взгляда" тут тоже разное. Безопасник имеет утвержденный перечень сведений конфиденциального характера, но не имеет детального списка конкретных шаблонов, которые надо контролировать; хотя бы и ключевых слов. А бизнес знает, что надо контролировать, но не горит желанием общаться с безопасниками. Как можно решить такую проблему? Родилась идея, которую DLP-вендоры могут попробовать реализовать у себя в решениях. Ну или ее можно сделать на базе любого портала, а потом уже "ручками" вносить в DLP-систему.

Портал самообслуживания! Идея лежит на поверхности - дать владельцам защищаемой информации возможность самим указывать, что надо контролировать и защищать. У нас такая же идея реализована в системе Cisco Identity Service Engine (ISE) для самостоятельного заведения личных мобильных устройств сотрудников. Чтобы не нагружать ИТ-департамент, сотрудники (которым позволено иметь мобильные устройство) самостоятельно заводят информацию о них на портале самообслуживания. И также самостоятельно сообщают, если устройство украдено или утеряно.

Портал самообслуживания Cisco ISE

Вот такая же идея может быть реализована и для DLP-систем. Бизнес-пользователи могут самостоятельно загружать на портал файлы с важной информацией, а система может снимать с них отпечатки и использовать в дальнейшей работе. Можно и ключевые слова также вносить в словарь DLP.

Вот как-то так... А может уже такое кем-то реализовано, а я давно отстал от жизни?