Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
9.10.15
Последние изменения в законодательстве о персональных данных (презентация)
Вчера на "Коде информационной безопасности" в Самаре выступал на тему последних изменений в законодательстве о персональных данных. Выкладываю презентацию.
1. В проекте Постановления Правительства "О контроле и надзоре..." исключается надзор за выполнением организационных и технических мер защиты, означает ли это, что при проверке в коммерческой организации по прежнему никто не будет проверять СЗПДн?
2. Почему РКН не считает электронную почту ИСПДн, если в почтовом справочнике содержатся данные (фамилия, имя, подразделение, должность, номера корпоративных и личных телефонов и т.д.), совокупность которых они считают ПДн? Где высказывалось это мнение? Вопрос насущный, т.к. защита электронной почты с удаленным доступом в соответствии с требованиями ФСТЭК и ФСБ - это очень веселая тема.
3. Может ли считаться сбором ПДн (и соответственно, нарушением 242-ФЗ) следующий сценарий: иностранная компания со своего сайта предоставляет работникам своей российской дочки доступ к своей системе и обязывает вносить в неё информацию, которая, в том числе может, содержать ПДн граждан РФ. Причем изначально вся эта информация собирается российской дочкой и хранится в БД на территории РФ?
1. Да 2. Это мнение РКН, прозвучавшее на одном из совещаний, где РКН был задан этот вопрос. Обоснование они не привели. Более того, они в любой момент могут от него отказаться. 3. На мой взгляд, не может
Алексей Викторович, я был одним из слушателей конференции Код ИБ в Самаре, и, к сожалению, не успел задать вопрос в первой секции, которую вы вели ("тренды и угрозы в сфере ИБ"). На мой скромный взгляд совсем не специалиста по безопасности, в ней был недостаточно освещен вопрос атак на сами средства обеспечения безопасности. С точки зрения таргетированной атаки на организацию (особенно с помощью инсайдера) использование уязвимости,например, в средстве криптозащиты, выглядит весьма "вкусно", например - Уязвимость в ESET, открытая специалистами Google: https://www.esetnod32.ru/company/press/center/eset-zakryla-uyazvimost-obnaruzhennuyu-google/ - Уязвимость в TrueCrypt (повышение привилегий и доступ к криптоконтейнеру для любого пользователя) http://habrahabr.ru/company/pt/blog/268087/ - MDM SAP Afaria, которая, судя по всему - одна большая уязвимость ("вшитые" ключи для симметричного шифрования паролей доступа к web-интерфейса, возможность стереть информацию с любого смартфона под контролем MDM, зная только его IMEI) http://habrahabr.ru/company/dsec/blog/267907/
Ситуацию усугубляет то, что современные средства антивирусной- и криптозащиты - это достаточно большой объем кода, работающего в режиме ядра и в пользовательском пространстве с высокими привилегиями. При этом большой объем кода затрудняет его анализ на предмет непреднамеренных ошибок, кроме того, системные привилегии, с которыми работает код систем защиты, делает его "лакомым кусочком" для злоумышленников.
Имеет место и инертность мышления пользователей - считается (но не подтверждено), что системы защиты безупречны с точки зрения собственной безопасности, не содержат уязвимостей и безопасны "по-умолчанию", потому что эти системы создают специалисты по безопасности. Тем не менее - цель существования любой компании, в том числе и создающей средства защиты информации - это получение прибыли, поэтому не исключено, что в некоторых случаях дешевизне разработки уделяется большее внимание, чем ее качеству.
Неудачный цвет для заголовков таблиц (бело-серый)
ОтветитьУдалитьЭто при конвертации в PDF так получается :-(
ОтветитьУдалитьВопросы возникли такие:
ОтветитьУдалить1. В проекте Постановления Правительства "О контроле и надзоре..." исключается надзор за выполнением организационных и технических мер защиты, означает ли это, что при проверке в коммерческой организации по прежнему никто не будет проверять СЗПДн?
2. Почему РКН не считает электронную почту ИСПДн, если в почтовом справочнике содержатся данные (фамилия, имя, подразделение, должность, номера корпоративных и личных телефонов и т.д.), совокупность которых они считают ПДн? Где высказывалось это мнение? Вопрос насущный, т.к. защита электронной почты с удаленным доступом в соответствии с требованиями ФСТЭК и ФСБ - это очень веселая тема.
3. Может ли считаться сбором ПДн (и соответственно, нарушением 242-ФЗ) следующий сценарий: иностранная компания со своего сайта предоставляет работникам своей российской дочки доступ к своей системе и обязывает вносить в неё информацию, которая, в том числе может, содержать ПДн граждан РФ. Причем изначально вся эта информация собирается российской дочкой и хранится в БД на территории РФ?
1. Да
ОтветитьУдалить2. Это мнение РКН, прозвучавшее на одном из совещаний, где РКН был задан этот вопрос. Обоснование они не привели. Более того, они в любой момент могут от него отказаться.
3. На мой взгляд, не может
Алексей Викторович, я был одним из слушателей конференции Код ИБ в Самаре, и, к сожалению, не успел задать вопрос в первой секции, которую вы вели ("тренды и угрозы в сфере ИБ"). На мой скромный взгляд совсем не специалиста по безопасности, в ней был недостаточно освещен вопрос атак на сами средства обеспечения безопасности.
ОтветитьУдалитьС точки зрения таргетированной атаки на организацию (особенно с помощью инсайдера) использование уязвимости,например, в средстве криптозащиты, выглядит весьма "вкусно", например
- Уязвимость в ESET, открытая специалистами Google: https://www.esetnod32.ru/company/press/center/eset-zakryla-uyazvimost-obnaruzhennuyu-google/
- Уязвимость в TrueCrypt (повышение привилегий и доступ к криптоконтейнеру для любого пользователя) http://habrahabr.ru/company/pt/blog/268087/
- MDM SAP Afaria, которая, судя по всему - одна большая уязвимость ("вшитые" ключи для симметричного шифрования паролей доступа к web-интерфейса, возможность стереть информацию с любого смартфона под контролем MDM, зная только его IMEI) http://habrahabr.ru/company/dsec/blog/267907/
Ситуацию усугубляет то, что современные средства антивирусной- и криптозащиты - это достаточно большой объем кода, работающего в режиме ядра и в пользовательском пространстве с высокими привилегиями. При этом большой объем кода затрудняет его анализ на предмет непреднамеренных ошибок, кроме того, системные привилегии, с которыми работает код систем защиты, делает его "лакомым кусочком" для злоумышленников.
Имеет место и инертность мышления пользователей - считается (но не подтверждено), что системы защиты безупречны с точки зрения собственной безопасности, не содержат уязвимостей и безопасны "по-умолчанию", потому что эти системы создают специалисты по безопасности. Тем не менее - цель существования любой компании, в том числе и создающей средства защиты информации - это получение прибыли, поэтому не исключено, что в некоторых случаях дешевизне разработки уделяется большее внимание, чем ее качеству.
Хочется узнать ваше мнение по этому вопросу.
ОтветитьУдалитьНу я бы не назвал это трендом. Скорее один из векторов атак
ОтветитьУдалить