Автоматизация работы по персданным

Довелось мне тут поглубже ознакомиться с продукцией екатеринбургской компании НТЦ "Сфера" - системой WingDoc ПД. Продукт зачетный, надо сказать прямо. Конечно, у него есть свои недочеты, как с точки зрения удобства пользования, так и с точки зрения некоторых вопросов безопасности. Но если перед организацией встала задача выполнить требования ФСТЭК и ФСБ в части разработки модели угроз (а именно это один из камней преткновения сейчас), то WingDoc ПД отлично справится с этой задачей.

Разумеется, если вы готовы потом выполнять ее (читай ФСТЭКовские/ФСБшные) рекомендации, т.к. в систему заложены именно методики построения модели угроз от наших регуляторов. Ну а так как большинство отечественных интеграторов тоже не сильно отклоняются от рекомендаций ФСТЭК и ФСБ, то система автоматизации тут как нельзя кстати. Особенно если учесть, что стоит она всего каких-то 12 тысяч рублей. Супротив ценника в несколько сотен тысяч (хотя я слышал про предложение одного интегратора - 17 миллионов рублей), который выставляют отечественные компании, специализирующиеся на данной тематике. Не удивлюсь, если появятся конторы, которые начнут демпинговать и предлагать разработку модели угроз на основе WingDoc ПД за смешные деньги ;-)

Но вернемся к программе. Более подробно она описана на сайте разработчиков. Что мне понравилось:

• Модуль ИСПДн-К позволяет построить модель угроз по методике ФСБ. А это уже немало. Исходя из существующих публичных документов самостоятельно построить модель нереально. Тут же автоматически строится и модель нарушителя и модель угроз. Правда, задача нетривиальная оказалась ;-( Придется вначале заняться инвентаризацией всех своих ресурсов, а уж потом браться за моделирование.
  
• Модуль ИСПДн автоматизирует процесс создания модели угроз по методике ФСТЭК. При этом по умолчанию модуль содержит список угроз из "Базовой модели", но как я понял, этот список может быть расширен. Вот если бы разработчики добавили в систему каталог угроз BSI и классификации из наших ГОСТов, то программе бы цены вообще не было. Итоговый документ у меня получился около 45 страниц с кучей разных таблиц.
  
• Система построена на анкетировании пользователя (около 100 вопросов). С одной стороны это позволяет автоматизировать процесс определения актуальных угроз, а с другой заставляет пользователя сначала собрать немало информации о своей системе. Но зато она потом вся хранится в базе.
• Хоть это и не так просто, но система программируема. Можно в анкету добавлять свои вопросы и связывать их с угрозами, список которых тоже можно пополнять. Единственное, что врядли можно поменять сам алгоритм определения актуальности угрозы. Если бы можно было поменять и его, то из WingDoc можно было сделать систему моделирования угроз не только для ПДн, но и других приложений и систем.
• Модуль "Техническое задание" позволяет на основе модели угроз составить ТЗ на разработку системы защиты ИСПДн.
• Система позволяет сформировать целый набор документов - Акт классификации, модель угроз, 8 разных приказов, требуемых при проверках, а также ТЗ на разработку системы защиты ИСПДн.

В заключение хочу еще раз порадоваться за специалистов НТЦ "Сфера", которые выпустили нужный продукт в нужное время. Сегодня это редкость ;-)

Подробнее…

Продажа золота из запасов Гохрана не состоится из-за утечки информации

О как...

Подробнее…

Стандарт ISO 29100

ISO готовит к выпуску стандарт ISO 29100 "Information technology -- Security techniques -- Privacy framework". Мне довелось увидеть его проект и поэтому хочу поделиться впечатлениями.

Цель стандарта проста - определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны:

• помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДн
• снизить барьеры для электронной коммерции
• активно использовать инновации при обработке ПДн в ИСПДн
• дать компаниям понимание лучших практик в части защиты ПДн.

Стандарт разбит на 4 части:

• предпосылки обработки ПДн (отсылки на подходы APEC и ОЭСР)
  
• требования к обработке ПДн
• принципы обработки ПДн (их 11)
  
• защитные меры ПДн.

Последние делятся на 7 ключевых направлений:

• политики
• инвентаризация и классификация
• процедуры и защитные меры
• корпоративное управление
• соответствие
• документация
• обучение и повышение осведомленности.

Немало внимания уделяется различным технологиям защиты и защищенной обработки ПДн на различных этапах их жизненного цикла. Говорится также и о обезличивании ПДн.

В целом стандарт очень неплох - постараюсь взять из него ключевые идеи для отечественных требований/рекомендаций по обработке и безопасности ПДн.

Подробнее…

ФАС опять на коне

Я уже писал про конфликт ФАС и Лаборатории Касперского. И вот теперь ФАС "наехала" по тому же поводу на Dr.Web.

Подробнее…

Cisco покупает ScanSafe

Компания Cisco объявила о покупке SaaS-провайдера в области безопасности Web - компанию ScanSafe. Цена сделки - 183 миллиона долларов. Решения ScanSafe дополнят систему IronPort Web Security Appliance, предлагаемую Cisco своим заказчикам. Защита Web-трафика на уровне периметра и в качестве SaaS позволит выстроить эшелонированную оборону от Web-угроз. Также планируется внедрение технологий ScanSafe в VPN-клиент нового поколения Cisco AnyConnect VPN Client.

Подробнее…

История с ESET NOD32 продолжается

В субботу опубликовал я заметку про то как ESET хвалится сертификатом ФСТЭК высшего класса К1 на свой антивирус. Ну думал, пошутили и хватит, ан нет. Ситуация становится еще более интересной. Начались откровенные запугивания со стороны некоторых разработчиков средств защиты и интеграторов в области защиты персданных.

Например, на сайте ispdn.ru (владелец - НПО "Эшелон"), который почему-то назван первым сайтом о защите персональных данных (хотя он ни по популярности, ни по времени появления, даже в пятерку не входит), есть такая страшилка: "то и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания не подала заявку, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом". Страшилка, не более. Ведь любой умеющий читать, давно прочел в ФЗ-152, что уведомлять надо за рядом исключений. И таких исключений немало. При правильном подходе можно вообще не уведомлять РКН, что, кстати, соответствует и европейской практике защиты прав субъектов ПДн.

Но это не единственный случай. Вернусь опять к ESET. Многие его партнеры на днях получили письмо следующего содержания (выдержка): "Согласно закону ФЗ № 152 «О персональных данных», к 1 января 2010 года все организации, обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. В случае нарушения закона деятельность организаций может быть приостановлена, а ее должностным лицам грозит административная, дисциплинарная или уголовная ответственность. Решения ESET NOD32 – единственные средства антивирусной безопасности, которые могут использоваться для обработки персональных данных".

Ну это уже пошел откровенный обман и надувательство. Я понимаю, что вписать в ТУ требования к антивирусу для ИСПДн К1, а потом сертификационной лаборатории проверить их реализацию, - это глубоко интеллектуальная работа. Но зачем же врать и называть свой продукт единственным? То, что у него одного в сертификате есть приписка про ИСПДн К1, еще не делает его единственным подходящим продуктом. Зато клиенты и партнеры напуганы уголовной ответственностью... Наступает замечательное время для втюхивания любого merde (как говорят французы).

ЗЫ. А еще на сайте ispdn.ru слово "персанальные" почему-то пишут через "а", а не "о" ;-(

Подробнее…

И вновь о психологии

Моя новая заметка на Компьютерре - о психологии в ИБ...

Подробнее…

Наказание за неисполнение ФЗ-152

Тут на bankir.ru возник вопрос и я понял, что сформированного ответа на него так и нет. Поэтому я решил выложить сюда кусок своей презентации с курса "Что скрывает законодательство по персональным данным?". Он перечисляет возможные наказания за несоблюдение требований ФЗ-152 и подзаконных актов.

Штрафы за несоблюдение ФЗ-152

View more documents from lukatsky.

ЗЫ. Речь идет о действующих наказаниях. Роскомнадзор внес на рассмотрение Госдумы вопрос о внесении изменений в ст.13.11 с целью появления наказания не только за нарушение требований ФЗ, но и за нанесение реального ущерба субъектам ПДн (там и приостановление деятельности, и штраф до миллиона рублей, и т.д.).

Подробнее…

Сертификат ФСТЭК высшего класса К1

Гротек опубликовал опус про получение Eset NOD32 сертификата ФСТЭК "высшего класса К1". Даже и не знаю, кто этот бред писал ;-( Непонимание не только термина "конфиденциальная информация", но и ФЗ "О персональных данных", системы сертификации ФСТЭК и "четверокнижия" ФСТЭК.

Подробнее…

Как РКН будет пасти своих овец

Роскомнадзор разместил на своем сайте проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Предназначение документа - описать процедуру проверок операторов персданных со стороны Роскомнадзора. Регламент во многом повторяет положения ФЗ-294, но есть ряд очень интересных моментов.

Во-первых, РКН решил расширить закрытый перечень оснований для плановой проверки, установленный федеральным законом, и добавил к нему еще 2 основания:

• Осуществление оператором ПДн деятельности по обработке персональных данных
• Истечение 3-х лет с момента государственной регистрации оператора ПДн.

Т.е. если этот проект будет принят, РКН получит право приходить с плановой проверкой в любой момент, а не только тогда, когда это разрешено законом.

Также расширен закрытый перечень оснований для внеплановой проверки. Теперь он пополнился двумя новыми основаниями:

• нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн
• нарушение операторами ПДн требований ФЗ-152 и иных нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности.

Опять же РКН стелит соломку под свои действия. С выходом 294-ФЗ он потерял право проверять даже внепланово, т.к. нарушение прав субъектов ПДн очень сложно притянуть к нанесению вреда жизни и здоровья и нарушению прав потребителя (об этом заявлялось и на парламентских слушаниях). И вот нате вам два новых основания, которые развязывают руки РКН по полной программе.

В остальном ничего интересного в проекте регламента я не заметил.

ЗЫ. Также в рекомендациях парламентских слушаний говорится о том, что должен появиться совместный регламент проверок РКН, ФСТЭК и ФСБ. Какой тогда будет статус этого проекта регламента непонятно.

Подробнее…

Результат парламентских слушаний

Вчера я описал парламентские слушания, прошедшие в Госдуме по теме персданных. Сегодня пора осветить предложения, которые могут "выйти в финал". Изначально предложений было с полторы сотни (их видно по вчерашним выложенным файлам). После обработки в ГосДуме осталось гораздо меньше, но, как мне кажется, они ключевые:

1. уточнить понятия и термины
2. сроки хранения и уничтожения ПДн должны определяться договором с субъектом, если иное не установлено законодательством
3. разрешить обработку ПДн, предшествующую заключению договора
4. уточнить случаи, когда согласие на обработку не требуются
5. дополнить случаи, когда обеспечение конфиденциальности не требуется
6. определить порядок адекватности защиты прав субъектов при трансграничной передаче
7. ограничить права субъекта на получение сведений об операторе наличием оснований полагать, что права субъекта нарушены
8. конкретизация условий обработки ПДн при директ-маркетинге
9. ограничение обязанности оператора сообзать субъекту об обработке ПДн, полученных от третьих лиц
10. исключение требования обязательного использования шифрования
11. обязательные требования по защите ПДн распространять только на государственные ИСПДн
12. разрешить операторам негосударственных ИСПДн самостоятельно определять меры защиты
13. разработка отраслевых стандартов по защите ПДн под эгидой Минсвязи
    
14. распространение на ИСПДн режима защиты коммерческой, профессиональной и иной, охраняемой законом тайны
15. уточнение полномочий регуляторов в части контроля и надзора
16. уточнение порядка и сроков уничтожения
17. включить в содержание уведомления в РКН сведений об используемых шифровальных средствах
    
18. обязать РКН информировать ФСБ и ФСТЭК о мерах, принимаемых операторами по безопасности ПДн
19. отодвинуть срок вступления в силу ст.25.3
20. исключить требование получения лицензии на ТЗКИ для собственных нужд
21. внести изменения в ФЗ-294 в части определения предмета, срокой и оснований проверок в области ПДн (завтра здесь будет анализ проекта административного регламента РКН по данному вопросу - много "приятного")
    
22. обеспечить публичность обсуждения технических документов ФСТЭК и ФСБ до их принятия, а не после
23. учитывать международные стандарты по ИБ
24. разработать совместный регламент проверок РКН, ФСТЭК и ФСБ.

Рекомендации парламентский слушаний

ЗЫ. Те, кому интересны не сканы, а DOCовские версии могут их скачать по ссылкам:

• описание слушаний
• ключевой доклад Гришанкова М.И.
• все раздаточные материалы
• рекомендации (тем, кто не зарегистрирован на scribd)
  

Подробнее…

О парламентских слушаниях по ПДн

Вчера прошли парламентские слушания по персональным данным. Очень познавательно ;-) Почти все выступления были по делу и все выступали в унисон - клеймя ФСТЭК с их требованиями и описывая проблемы текущего законодательства. А теперь по пунктам.

Начал выступление первый заместитель председателя комитета Госдумы по безопасности - Гришанков Михаил Игнатьевич. Основные лейтмотивы его выступления:

• жесткая критика ФСТЭК и ФСБ в части обязательных и жестких требований
• переносить сроки нельзя, но надо (на один год)
• необходимы отраслевые стандарты
• необходимо пересматривать обязательные требования по сертификации, аттестации и лицензированию (например, лицензия дает право заниматься определенной деятельностью, а защита ПДн - это обязанность).
  
• закрытость регуляторов.

Затем выступал глава думского комитета по финансовым рынка Резник. Со многим согласился. Он тоже считает, что закон надо менять, а ст.19 должна носить рекомендательный характер. Интересно было предложение персонифицировать ответственность оператора ПДн, как это сделано в 29-й статье ЕвроКонвенции.

После Резника выступал представитель комитета по конституционному законодательству. Он согласился с Гришанковым и Резником и добавил, что права субъекта ПДн абсолютизированы.

Затем было выступление депутата Аксакова (президента Ассоциации региональных банков "Россия"). Живо, по делу и без бумажки. Учитывая, что он банкир, его выступление изобиловало примерами недостатков ФЗ из финансовой сферы. Он первый заявил про коррупциогенность документов ФСТЭК, про направленность требований ФСТЭК на интересы регулятора и интеграторов, про возможность использовать ФЗ для рейдерства. Также считает нужным переносить сроки реализации 19-й статьи на год. Так уж сложилось, что предложения в разработке которых я принимал участие наряду с рядом достойных джентльменов и дам озвучивались от имени Аксакова, а в раздаточные материалы попали от имени РСПП.

Предложения РСПП по персональным данным

Потом выступал Шередин из РКН. По делу почти ничего - зачитал отчет о деятельности РКН за 9 месяцев этого года. Зато у него проскользнуло два интересных пассажа:

• внеплановая проверка по обращению субъекта ПДн согласно ФЗ-294 запрещена
• судебная практика по ПДн очень незначительна - суды предпочитают считать эту проблему несущественной. Наказаний очень мало, а сумма штрафов измеряется тремя-четырьмя десятками тысяч рублей за этот год.

Предложения РосКомнадзора по персданным

Потом выступал замминистра юстиции Костенников. Он заявил интересную вещь - несмотря на принятие ФЗ-160, ЕвроКонвенция юридически так и не ратифицирована Россией и мы не входим в список стран, обеспечивающих адекватную защиту ПДн для стран Евросоюза.

Затем выступал представитель ФСБ. Он дистанцировался от ФСТЭК в части закрытости документов (заявил, что их документы публичны). Из интересных вещей сказал, что лицензия на криптозащиту ПДн не нужна (исключая предоставление услуг и распространение шифрсредств). Также ФСБ сейчас готовит регламент проверок по данной теме. Было интересное заявление, что шифровальные средства не являются обязательными для защиты персданных и ФСБ не настаивает на их обязательном применении (в ФЗ хотят внести соответствующий пункт). Также было сказано, что оператор сам определяет какие СКЗИ использовать, но т.к. большинство операторов неквалифицированы, то лучше использовать сертифицированные СКЗИ. Более подробно см. ниже.

Материалы ФСБ по персональным данным
Затем выступал г-н Русаков из Московской области. Он высказал интересную мысль, что в российском законодательстве есть требование уведомлять пострадавших субъектов ПДн о факте утечки их ПДн. Видимо он спутал наше законодательство с американским ;-)

Было два выступления страховщиков - от РСА и от Национальной страховой гильдии. От вторых были политически корректные высказывания, от первых конкретика в предложениях. В раздатке были материалы от РСС.

Предложения Российского Союза Автостраховщиков по ПДн

Затем выступал Андрей Емелин из АРБ. Тоже четко и по делу, с цифрами в руках. Учитывая, что он юрист, аппелировал к законодательству и использовал юридически корректные термины. Из ключевых проблем выделил:

• что делать с исторически накопленными данными?
• как идентифицировать субъекта ПДн?
• что делать с выгодоприобретателями?
• отзыв согласия
• вопросы уничтожения ПДн (особенно из взаимосвязанных и взаимопополняемых БД) и т.д.

Предложения АРБ по персональным данным

Затем вне программы выступил человек от Минздрава. Тоже по делу и с описанием конкретных проблем своей отрасли. Сказал, что если ситуацию не изменить, то с 1-го января все здравоохранение встанет, т.к. ни рецепт выписать, ни больного принять нельзя будет. Он вообще предложил отменить "приказ трех".

Потом выступал Курило Андрей Петрович (Банк России). Опять банкир и опять по делу, живо и без бумажки. Предпоследним выступал Слепаков из Ассоциации региональных операторов связи (ничего нового не сказал, только уточнил ряд вопросов). Больше операторы связи не выступали, как и сидящий в президиуме представитель Минкомсвязи ;-( А вот предложения от операторов связи были - от МТС и Инфокоммуникационного союза.

Предложения МТС по персональным данным

Предложения ИнфоКоммуникационного Союза

Завершал слушания Михаил Якушев (от имени АП КИТ). Сказал, что в первончальной версии ФЗ многих этих проблем не было - они появились в результате правки в Госдуме. Предложения от АП КИТ хороши тем, что ориентированы на Интернет-компании и Интернет-сервисы.


Предложения АП КИТ по персональным данным

ЗЫ. Были еще материалы от Минюста и Рособрнауки, но они у меня плохо отсканировались - завтра выложу, как и проект итоговых рекомендаций с их анализом. Эти рекомендации интересны тем, что это то, что будут пробивать депутаты в итоговую новую версию ФЗ.

Подробнее…

Новая версия курса по модели угроз

В новую версию курса "Построение модели угроз" были добавлены следующие разделы/темы:

• 6-й метод определения вероятности угрозы
• психология восприятия риска при моделировании угроз экспертами
• как оформлять модель угроз по мнению ФСТЭК
• модель угроз Банка России.
  

Подробнее…

Новая версия курса по персональным данным

Новая версия курса "Что скрывает законодательство по персональным данным" пополнилась следующими разделами/темами:

• Соответствие классов ИСПДн и АС
• Действие договоров, заключенных до принятия 152-ФЗ
• Относятся ли СКУД и АБС к ИСПДн?
• Дополнительные разъяснения про обязательную аттестацию и сертификацию (включая ПП-1013)
• Дополнительные разъяснения обработки ПДн без средств автоматизации
• Анализ «второй» версии четверокнижия
• Детали различий с Евроконвенцией
• Ключевые планируемые изменения ФЗ-152
• Пример согласия субъекта ПДн и некоторых документов ФСТЭК
• Анализ проекта административного регламента РКН
• Типовая программа проведения проверки РКН.

Подробнее…

Barracuda покупает Purewire

13 октября производитель средств защиты контента Barracuda Networks завершила процесс приобретения Purewire, которая, как это ни странно, работала в сегменте Security-as-a-Service, предлагая своим заказчикам безопасные Web-сервисы (фильтрацию URL и защита вредоносного ПО). Размер сделки не сообщается, но врядли он был большим, учитывая масштаб и самой Barracuda и Purewire.

PS. Всего лишь пару недель назад Barracuda объявила о приобретении контроля над малоизвестной компанией phion, которая разрабатывает технологии межсетевого экранирования.

Подробнее…

Электронный бордель

Так уж повелось, что наши чиновники стали очень чутко реагировать на высказывания первых лиц государства и поддерживать их в своих интервью, общении со СМИ и т.п. Не стал исключением и министр внутренних дел Рашид Нургалиев, очень быстро прореагировавший на заявления Президента Медведева о том, что чиновники будут лично отвечать за уровень инноваций и технического прогресса в своих ведомствах. 16 октября в Россиийской газете опубликована его статья "Электронный патруль" с тенденциозным подзаголовком "В МВД создали системы защиты кибернетического простраства". Прочтя его я подумал, неужели свершилось?.. Ан нет. Статья вызывает и не жалость, и не улыбку, и не злость, а... даже не знаю что. Матом ругаться хочется, но не буду. Суть статьи проста - продемонстрировать усилия подведомственного Нургалиеву министерства в борьбе с киберпреступниками. Разбита она на 4 части.

Первая посвящена рассказу для "непосвященных" о том, какую опасность несет с собой Интернет и иные современные технологии. "Наезды" классические - анонимность, необходимость регистрировать модемы и DSL-маршрутизаторы (как раньше регистрировались мобильные телефоны), рост киберпреступлений, перенос традиционной преступности на инновационные рельсы и другие страшилки. Ничего нового, хотя я удивился, когда увидел, что министр внутренних дел знаком с термином "ботнет" и "ДДоС" ;-)

Вторая часть статьи посвящена "щиту информационных технологий" - Управлению "К", призванному бороться с с преступлениями в сфере высоких технологий. В качестве достижения этого подразделения названы поимка кардеров, "обувших" в прошлом году клиентов Сбербанка, Альфа-банка и Газпромбанка на 20 миллионов рублей, и группа шантажистов, осуществивших DDoS-атаки на 50 сайтов. Дальше больше. Идет классическая статистика - зафиксировано столько-то преступлений, ежегодный рост такой-то! Похвальба идет именно числом зарегистрированных преступлений, а не числом раскрытых из них или доведенных до суда. Это уже видимо на подсознании - говорить о числе "палок", а не реальной работе по снижению их количества или мерах по профилактике компьютерных преступлений. В заключение раздела говорится о признании мировым сообществом значительных усилий Управления "К" в борьбе с порнографией.

Третий раздел посвящен международному сотрудничеству. Вот тут деталей гораздо больше - видимо этому направлению действительно уделяется немало внимания. Еще бы - съездить заграницу, чтобы перенять опыт или поучаствовать в международной конференции, - что может быть лучше. Не буду приводить названия всех конференций, в которых участвовали представители МВД, лучше попробуем понять, каков их результат. А вот его-то и нет. Победные реляции есть, а результата нет ;-( Отчет в лучших традициях партийных съездов советских времен:

• "был выдвинут ряд инициатив" (а где результат инициатив?)
• "только в этом году министерство приняло участие в 22 международных мероприятиях" (а кто тогла ловит преступников, если они за границу два раза в месяц летают?)
• "важно участие в Римско-Лионской группе" (важно? так участвуй!)
• "мы неоднократно выступали с предложениями" (а где их результат?)
• "мы за активизацию" (так активизируйте; чего ждать инициатив с другой стороны?)
• "проведена встреча... предложено" (а было предложение принято? а если да, то что это дало с практической точки зрения?)
• "инициативы встречают понимание" (в чем конкретно оно выражается?)
• "прошла встреча офицеров связи правоохранительных органов" (и что? каковы итоги?)
• "мероприятие способствовало взаимопониманию сторон" (за стаканом небось?)
• "достигнута договоренность" (и? есть результаты?)
• "поступило предложение о проведении стажировок за границей" (кто бы отказался? наверняка полковники и генералы поедут?)
• "состоялся второй раунд консультаций" (и по первому-то что было сделано?)
• "обсуждались вопросы" (делать надо, а не обсуждать)
• "итогом встречи стало принятие резолюции" (а конкретный план действий где?)
• "было разработано соглашение" (а конкретный план действий где?).

Ну и последняя часть статьи посвящена использованием новых технологий для раскрытия преступлений. Тут достаточно просто процитировать "для того, чтобы были достигнуты такие результаты, специалистам органов внутренних дел пришлось пройти сложный путь поиска оптимальных идей, разработки выверенных решений, создания наукоемкой материальной базы, подготовки кадров, соответствующих уровню задач XXI века". О как!

Правда, когда я выступаю перед сотрудниками органов, слышу немного другое. Ну да кому это интересно. Главное, что перед лицом руководства страны МВД на передовой инноваций ;-)

Резюмируя, в статье сказано много всего, звучит оно красиво, но ничего по делу ;-( Я всегда восхищался умением чиновников разводить туман в своих речах, говорить много, но так ничего по делу и не сказать. У Азимова в одном из романов упоминается даже наука, которая призвана анализировать текст и речи и вычленять из них смысл. Так вот в отношении одного из героев романа было сказано примерно следующее "говорил несколько часов, но ничего конкретного так и не сказал". Вот эта статья из этой же области.

ЗЫ. Значит ли это, что оперативники и следователи, занимающиеся преступлениями в сфере высоких технологий, ничего не делают? Конечно же нет. Делают и немало. Но до победных реляций и навешиваний блях на грудь еще очень далеко.

Подробнее…

Прикольная реклама Cisco на тему русских хакеров

Прикольная реклама Cisco на тему русских хакеров ;-)

Подробнее…

Результаты посещения круглого стола по персданным

Примечание: это повторная публикация майской заметки. На тот момент результаты круглого стола еще не были опубликованы и меня попросили снять заметку. В июле вышел номер журнала со стенограммой этого круглого стола. Я выждал два месяца и решил вновь опубликовать заметку, но уже с большей детализацией.

28-го мая издательский дом Connect провел замечательный круглый стол. Сначала была заявлена одна тема - "персданные", но в ходе мероприятия проявилась и вторая - СТО БР ИББС. Так как я вынужден был уезжать в Казань, то на вторую часть я не остался, но и посещение первой оставило неизгладимое впечатление.

Суть мероприятия была простой - заранее был сформирован список из 13-ти наболевших вопросов по персданным. А на самом круглом столе на них отвечали представители ФСТЭК (Назаров И.Г.), РКН (Васильева Л.Б.) и ФСБ (Гаврилов В.Е.). При этом по ходу представители преимущественно банков (ЦБ, СБ, Возрождение, ВТБ, Газпромбанк, Банк Москвы, Россельхозбанк, Промсвязьбанк и т.д.) задавали наводящие вопросы.

Итак, краткое резюме по наиболее интересным моментам (полная версия стенограммы будет в ближайшем номере журнала Connect).

1. На вопрос про модель угроз и аттестацию последовал следующий ответ ФСТЭК. Согласование модели с ФСТЭК необязательно, но пока, в порядке инициативы ФСТЭК это делает. ТЗ и техпроекты они согласовывать готовы только для крупных систем. И то, только по собственной инициативе и наличии времени. Средний срок согласования модели - 10 дней. Территориальные управления ФСТЭК тоже могут это делать (если согласятся и смогут).

А вот дальше последовала сенсация ;-) На вопрос, кто может аттестовывать ИСПДн ответ был - любой лицензиат ФСТЭК и аттестационные органы ФСТЭК. На мой вопрос, на соответствие чему проводим аттестацию, последовал закономерный ответ - на соответствие требованиям ФСТЭК. А когда я уточнил, что делать для специальных ИСПДн последовал ответ, что аттестовать на соответствие мерам, разработанным по частной модели угроз. Т.е. обычный лицензиат может провести аттестацию на соответствие некому списку мероприятий, которые разработан заказчиком или лицензиатом. Правда, я не уточнил форму аттестата в этом случае.

На мой вопрос, не видит ли ФСТЭК противоречия в том, что одна и та же компания разрабатывает модель угроз, перечень защитных мероприятий, а потом по ним же и проводит аттестацию и выдает заключение, Игорь Григорьевич ответил, что ничего странного в этом ФСТЭК не видит.

На вопрос от банков, будет ли ФСТЭК иметь претензии к организации, для которой лицензиат разработал модель и потом выдал заключение, Назаров И.Г. ответил, что нет, не будет, т.е. лицензиат действует "по имени и по поручению" ФСТЭК, на основе ее документов и позиций.

Вот эта часть была пожалуй самой интересной ;-) Если все будет действительно так, как сказали, то проблем с аттестацией ни у кого быть не должно. Заказчики получат заветную бумажку, а лицензиаты - постоянную статью дохода. Все довольны. Что при этом будет с персданными не совсем понятно, но кого это волнует?

2. На вопрос о наличии лицензии на ТЗКИ ответ был - если сами все делаете, то надо. Если есть договор с лицензиатом, то не надо. Для филиалов банков достаточно общей лицензии (если филиал не является отдельным юрлицом).

3. На вопрос о методике оценки ущерба, ФСТЭК сослалась, что это не в их компетенции. Андрей Петрович Курило всех отослал на сайт подкомитета 3, где выложена методика оценки рисков для СТО БР ИББС, по которой можно оценить реальные риски и отбросить ненужные, например, ПЭМИН, который для абсолютного большинства банков не нужен.

Вообще вопрос включения угроз в частную модель поднимался неоднократно. Можете включать/удалять все, что хотите, если это обоснованно. Таково мнение ФСТЭК. Ни ПЭМИН, ни НДВ из второй редакции четверокнижия удалять не будут, но в частной модели угроз их можно не включать.

4. На вопрос, что делать, если в одной ИС обрабатывается и коммерческая, и банковская тайна, и ПДн, и какой класс присваивать в итоге, последовал закономерный ответ - "по максимуму".

5. Новая версия четверокнижия будет выпущена в конце лета. При этом отличий от первой версии не будет. Собственно вся разница в статусе документов и устранении ошибок и неточностей. Вторая версия будет публичной и пройдет через МинЮст. Из 4-х документов останется только два. Модель угроз получит статус ДСП. Зачем это делать, так никто и не объяснил. Широкого обсуждения второй редакции не будет.

Также было сказано, что скоро (но срок не назвали) выйдет новая версия СТР-К, которая пройдет через МинЮст. Готовьтесь ;-)

6. На вопрос для ФСБ о конкретизации требований по обнаружению вторжения было отвечено, что скоро все будет. Деталей не было.

7. Было много вопросов в сторону РКН, но ясности не появилось. На вопрос банков, понимают ли в РКН, что требования ФЗ "кошмарят" Россию и могут поставить крест на многих направлениях бизнеса, РКН ответил, что "мы не комментируем закон. Вы обязаны его исполнять. И это Ваши проблемы" ;-(

Уже в перерыв я задал два вопроса. Первый касался плановых проверок. На каком основании РКН их проводит. Лариса Борисовна ответила, что неофициально она согласна, что проверять надо только по факту обращения субъекта ПДн, но официально мнение руководства - плановые проверки проводить.

Второй вопрос касался соотносимости ФЗ-152 и Европейской Конвенции. Я задал вопрос, понимает ли РКН, что ФЗ-152 имеет меньшую юридическую силу, чем Конвенция и согласно праву оператор ПДн может в спорных моментах следовать Конвенции, а не ФЗ. Васильева Л.Б. ответила, что да, я прав, но РКН проверял, проверяет и будет проверять на соответствие ФЗ. И что если кто не согласен, то идите в суд, который может и встанет на сторону Конвенции, а не ФЗ. Вот такое правовое у нас государство ;-(

Круглый стол Connect по ПДн

Подробнее…

Назначен день Х, когда начнут штрафовать за несоответствие PCI DSS

Как-то все молчат про эту дату и я решил ее осветить ;-) День "Х", начиная с которого Visa начнет штрафовать тех, кто не соответствует стандарту PCI DSS. Касается он, разумеется, не всех, а тех, кто подключен к VisaNet напрямую. По информации из Visa, полученной в прошлую пятницу, момент истины настанет 1-го октября 2010 года. Именно до этой даты надо успеть выполнить требования стандарта для российских организаций.

Ниже я свел воедино некоторые из таких ключевых дат, после наступления которых может наступить расплата ;-)

Подробнее…

Соответствие классов ИСПДн и АС

Уже не раз поднимался вопрос о соответствии классов ИСПДн более знакомому понятию АС, которые было прописано еще в 92-м году в соответствующем РД ФСТЭК. И вот, наконец-то, ФСТЭК разродилась в своих методических рекомендациях таблицей соответствия классов ИСПДн и АС.

Подробнее…