30.10.09

Автоматизация работы по персданным

Довелось мне тут поглубже ознакомиться с продукцией екатеринбургской компании НТЦ "Сфера" - системой WingDoc ПД. Продукт зачетный, надо сказать прямо. Конечно, у него есть свои недочеты, как с точки зрения удобства пользования, так и с точки зрения некоторых вопросов безопасности. Но если перед организацией встала задача выполнить требования ФСТЭК и ФСБ в части разработки модели угроз (а именно это один из камней преткновения сейчас), то WingDoc ПД отлично справится с этой задачей.

Разумеется, если вы готовы потом выполнять ее (читай ФСТЭКовские/ФСБшные) рекомендации, т.к. в систему заложены именно методики построения модели угроз от наших регуляторов. Ну а так как большинство отечественных интеграторов тоже не сильно отклоняются от рекомендаций ФСТЭК и ФСБ, то система автоматизации тут как нельзя кстати. Особенно если учесть, что стоит она всего каких-то 12 тысяч рублей. Супротив ценника в несколько сотен тысяч (хотя я слышал про предложение одного интегратора - 17 миллионов рублей), который выставляют отечественные компании, специализирующиеся на данной тематике. Не удивлюсь, если появятся конторы, которые начнут демпинговать и предлагать разработку модели угроз на основе WingDoc ПД за смешные деньги ;-)

Но вернемся к программе. Более подробно она описана на сайте разработчиков. Что мне понравилось:
  • Модуль ИСПДн-К позволяет построить модель угроз по методике ФСБ. А это уже немало. Исходя из существующих публичных документов самостоятельно построить модель нереально. Тут же автоматически строится и модель нарушителя и модель угроз. Правда, задача нетривиальная оказалась ;-( Придется вначале заняться инвентаризацией всех своих ресурсов, а уж потом браться за моделирование.
  • Модуль ИСПДн автоматизирует процесс создания модели угроз по методике ФСТЭК. При этом по умолчанию модуль содержит список угроз из "Базовой модели", но как я понял, этот список может быть расширен. Вот если бы разработчики добавили в систему каталог угроз BSI и классификации из наших ГОСТов, то программе бы цены вообще не было. Итоговый документ у меня получился около 45 страниц с кучей разных таблиц.
  • Система построена на анкетировании пользователя (около 100 вопросов). С одной стороны это позволяет автоматизировать процесс определения актуальных угроз, а с другой заставляет пользователя сначала собрать немало информации о своей системе. Но зато она потом вся хранится в базе.
  • Хоть это и не так просто, но система программируема. Можно в анкету добавлять свои вопросы и связывать их с угрозами, список которых тоже можно пополнять. Единственное, что врядли можно поменять сам алгоритм определения актуальности угрозы. Если бы можно было поменять и его, то из WingDoc можно было сделать систему моделирования угроз не только для ПДн, но и других приложений и систем.
  • Модуль "Техническое задание" позволяет на основе модели угроз составить ТЗ на разработку системы защиты ИСПДн.
  • Система позволяет сформировать целый набор документов - Акт классификации, модель угроз, 8 разных приказов, требуемых при проверках, а также ТЗ на разработку системы защиты ИСПДн.

В заключение хочу еще раз порадоваться за специалистов НТЦ "Сфера", которые выпустили нужный продукт в нужное время. Сегодня это редкость ;-)

29.10.09

Стандарт ISO 29100

ISO готовит к выпуску стандарт ISO 29100 "Information technology -- Security techniques -- Privacy framework". Мне довелось увидеть его проект и поэтому хочу поделиться впечатлениями.

Цель стандарта проста - определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны:
  • помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДн
  • снизить барьеры для электронной коммерции
  • активно использовать инновации при обработке ПДн в ИСПДн
  • дать компаниям понимание лучших практик в части защиты ПДн.

Стандарт разбит на 4 части:
  • предпосылки обработки ПДн (отсылки на подходы APEC и ОЭСР)
  • требования к обработке ПДн
  • принципы обработки ПДн (их 11)
  • защитные меры ПДн.

Последние делятся на 7 ключевых направлений:
  • политики
  • инвентаризация и классификация
  • процедуры и защитные меры
  • корпоративное управление
  • соответствие
  • документация
  • обучение и повышение осведомленности.
Немало внимания уделяется различным технологиям защиты и защищенной обработки ПДн на различных этапах их жизненного цикла. Говорится также и о обезличивании ПДн.

В целом стандарт очень неплох - постараюсь взять из него ключевые идеи для отечественных требований/рекомендаций по обработке и безопасности ПДн.

ФАС опять на коне

Я уже писал про конфликт ФАС и Лаборатории Касперского. И вот теперь ФАС "наехала" по тому же поводу на Dr.Web.

28.10.09

Cisco покупает ScanSafe

Компания Cisco объявила о покупке SaaS-провайдера в области безопасности Web - компанию ScanSafe. Цена сделки - 183 миллиона долларов. Решения ScanSafe дополнят систему IronPort Web Security Appliance, предлагаемую Cisco своим заказчикам. Защита Web-трафика на уровне периметра и в качестве SaaS позволит выстроить эшелонированную оборону от Web-угроз. Также планируется внедрение технологий ScanSafe в VPN-клиент нового поколения Cisco AnyConnect VPN Client.

История с ESET NOD32 продолжается

В субботу опубликовал я заметку про то как ESET хвалится сертификатом ФСТЭК высшего класса К1 на свой антивирус. Ну думал, пошутили и хватит, ан нет. Ситуация становится еще более интересной. Начались откровенные запугивания со стороны некоторых разработчиков средств защиты и интеграторов в области защиты персданных.

Например, на сайте ispdn.ru (владелец - НПО "Эшелон"), который почему-то назван первым сайтом о защите персональных данных (хотя он ни по популярности, ни по времени появления, даже в пятерку не входит), есть такая страшилка: "то и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания не подала заявку, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом". Страшилка, не более. Ведь любой умеющий читать, давно прочел в ФЗ-152, что уведомлять надо за рядом исключений. И таких исключений немало. При правильном подходе можно вообще не уведомлять РКН, что, кстати, соответствует и европейской практике защиты прав субъектов ПДн.

Но это не единственный случай. Вернусь опять к ESET. Многие его партнеры на днях получили письмо следующего содержания (выдержка): "Согласно закону ФЗ № 152 «О персональных данных», к 1 января 2010 года все организации, обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. В случае нарушения закона деятельность организаций может быть приостановлена, а ее должностным лицам грозит административная, дисциплинарная или уголовная ответственность. Решения ESET NOD32 – единственные средства антивирусной безопасности, которые могут использоваться для обработки персональных данных".

Ну это уже пошел откровенный обман и надувательство. Я понимаю, что вписать в ТУ требования к антивирусу для ИСПДн К1, а потом сертификационной лаборатории проверить их реализацию, - это глубоко интеллектуальная работа. Но зачем же врать и называть свой продукт единственным? То, что у него одного в сертификате есть приписка про ИСПДн К1, еще не делает его единственным подходящим продуктом. Зато клиенты и партнеры напуганы уголовной ответственностью... Наступает замечательное время для втюхивания любого merde (как говорят французы).

ЗЫ. А еще на сайте ispdn.ru слово "персанальные" почему-то пишут через "а", а не "о" ;-(

27.10.09

И вновь о психологии

Моя новая заметка на Компьютерре - о психологии в ИБ...

26.10.09

Наказание за неисполнение ФЗ-152

Тут на bankir.ru возник вопрос и я понял, что сформированного ответа на него так и нет. Поэтому я решил выложить сюда кусок своей презентации с курса "Что скрывает законодательство по персональным данным?". Он перечисляет возможные наказания за несоблюдение требований ФЗ-152 и подзаконных актов.



ЗЫ. Речь идет о действующих наказаниях. Роскомнадзор внес на рассмотрение Госдумы вопрос о внесении изменений в ст.13.11 с целью появления наказания не только за нарушение требований ФЗ, но и за нанесение реального ущерба субъектам ПДн (там и приостановление деятельности, и штраф до миллиона рублей, и т.д.).

24.10.09

Сертификат ФСТЭК высшего класса К1

Гротек опубликовал опус про получение Eset NOD32 сертификата ФСТЭК "высшего класса К1". Даже и не знаю, кто этот бред писал ;-( Непонимание не только термина "конфиденциальная информация", но и ФЗ "О персональных данных", системы сертификации ФСТЭК и "четверокнижия" ФСТЭК.

23.10.09

Как РКН будет пасти своих овец

Роскомнадзор разместил на своем сайте проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Предназначение документа - описать процедуру проверок операторов персданных со стороны Роскомнадзора. Регламент во многом повторяет положения ФЗ-294, но есть ряд очень интересных моментов.

Во-первых, РКН решил расширить закрытый перечень оснований для плановой проверки, установленный федеральным законом, и добавил к нему еще 2 основания:
  • Осуществление оператором ПДн деятельности по обработке персональных данных
  • Истечение 3-х лет с момента государственной регистрации оператора ПДн.
Т.е. если этот проект будет принят, РКН получит право приходить с плановой проверкой в любой момент, а не только тогда, когда это разрешено законом.

Также расширен закрытый перечень оснований для внеплановой проверки. Теперь он пополнился двумя новыми основаниями:
  • нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн
  • нарушение операторами ПДн требований ФЗ-152 и иных нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности.
Опять же РКН стелит соломку под свои действия. С выходом 294-ФЗ он потерял право проверять даже внепланово, т.к. нарушение прав субъектов ПДн очень сложно притянуть к нанесению вреда жизни и здоровья и нарушению прав потребителя (об этом заявлялось и на парламентских слушаниях). И вот нате вам два новых основания, которые развязывают руки РКН по полной программе.

В остальном ничего интересного в проекте регламента я не заметил.

ЗЫ. Также в рекомендациях парламентских слушаний говорится о том, что должен появиться совместный регламент проверок РКН, ФСТЭК и ФСБ. Какой тогда будет статус этого проекта регламента непонятно.

22.10.09

Результат парламентских слушаний

Вчера я описал парламентские слушания, прошедшие в Госдуме по теме персданных. Сегодня пора осветить предложения, которые могут "выйти в финал". Изначально предложений было с полторы сотни (их видно по вчерашним выложенным файлам). После обработки в ГосДуме осталось гораздо меньше, но, как мне кажется, они ключевые:

  1. уточнить понятия и термины
  2. сроки хранения и уничтожения ПДн должны определяться договором с субъектом, если иное не установлено законодательством
  3. разрешить обработку ПДн, предшествующую заключению договора
  4. уточнить случаи, когда согласие на обработку не требуются
  5. дополнить случаи, когда обеспечение конфиденциальности не требуется
  6. определить порядок адекватности защиты прав субъектов при трансграничной передаче
  7. ограничить права субъекта на получение сведений об операторе наличием оснований полагать, что права субъекта нарушены
  8. конкретизация условий обработки ПДн при директ-маркетинге
  9. ограничение обязанности оператора сообзать субъекту об обработке ПДн, полученных от третьих лиц
  10. исключение требования обязательного использования шифрования
  11. обязательные требования по защите ПДн распространять только на государственные ИСПДн
  12. разрешить операторам негосударственных ИСПДн самостоятельно определять меры защиты
  13. разработка отраслевых стандартов по защите ПДн под эгидой Минсвязи
  14. распространение на ИСПДн режима защиты коммерческой, профессиональной и иной, охраняемой законом тайны
  15. уточнение полномочий регуляторов в части контроля и надзора
  16. уточнение порядка и сроков уничтожения
  17. включить в содержание уведомления в РКН сведений об используемых шифровальных средствах
  18. обязать РКН информировать ФСБ и ФСТЭК о мерах, принимаемых операторами по безопасности ПДн
  19. отодвинуть срок вступления в силу ст.25.3
  20. исключить требование получения лицензии на ТЗКИ для собственных нужд
  21. внести изменения в ФЗ-294 в части определения предмета, срокой и оснований проверок в области ПДн (завтра здесь будет анализ проекта административного регламента РКН по данному вопросу - много "приятного")
  22. обеспечить публичность обсуждения технических документов ФСТЭК и ФСБ до их принятия, а не после
  23. учитывать международные стандарты по ИБ
  24. разработать совместный регламент проверок РКН, ФСТЭК и ФСБ.


Рекомендации парламентский слушаний

ЗЫ. Те, кому интересны не сканы, а DOCовские версии могут их скачать по ссылкам:

21.10.09

О парламентских слушаниях по ПДн

Вчера прошли парламентские слушания по персональным данным. Очень познавательно ;-) Почти все выступления были по делу и все выступали в унисон - клеймя ФСТЭК с их требованиями и описывая проблемы текущего законодательства. А теперь по пунктам.

Начал выступление первый заместитель председателя комитета Госдумы по безопасности - Гришанков Михаил Игнатьевич. Основные лейтмотивы его выступления:
  • жесткая критика ФСТЭК и ФСБ в части обязательных и жестких требований
  • переносить сроки нельзя, но надо (на один год)
  • необходимы отраслевые стандарты
  • необходимо пересматривать обязательные требования по сертификации, аттестации и лицензированию (например, лицензия дает право заниматься определенной деятельностью, а защита ПДн - это обязанность).
  • закрытость регуляторов.

Затем выступал глава думского комитета по финансовым рынка Резник. Со многим согласился. Он тоже считает, что закон надо менять, а ст.19 должна носить рекомендательный характер. Интересно было предложение персонифицировать ответственность оператора ПДн, как это сделано в 29-й статье ЕвроКонвенции.

После Резника выступал представитель комитета по конституционному законодательству. Он согласился с Гришанковым и Резником и добавил, что права субъекта ПДн абсолютизированы.

Затем было выступление депутата Аксакова (президента Ассоциации региональных банков "Россия"). Живо, по делу и без бумажки. Учитывая, что он банкир, его выступление изобиловало примерами недостатков ФЗ из финансовой сферы. Он первый заявил про коррупциогенность документов ФСТЭК, про направленность требований ФСТЭК на интересы регулятора и интеграторов, про возможность использовать ФЗ для рейдерства. Также считает нужным переносить сроки реализации 19-й статьи на год. Так уж сложилось, что предложения в разработке которых я принимал участие наряду с рядом достойных джентльменов и дам озвучивались от имени Аксакова, а в раздаточные материалы попали от имени РСПП.

Предложения РСПП по персональным данным

Потом выступал Шередин из РКН. По делу почти ничего - зачитал отчет о деятельности РКН за 9 месяцев этого года. Зато у него проскользнуло два интересных пассажа:
  • внеплановая проверка по обращению субъекта ПДн согласно ФЗ-294 запрещена
  • судебная практика по ПДн очень незначительна - суды предпочитают считать эту проблему несущественной. Наказаний очень мало, а сумма штрафов измеряется тремя-четырьмя десятками тысяч рублей за этот год.


Предложения РосКомнадзора по персданным

Потом выступал замминистра юстиции Костенников. Он заявил интересную вещь - несмотря на принятие ФЗ-160, ЕвроКонвенция юридически так и не ратифицирована Россией и мы не входим в список стран, обеспечивающих адекватную защиту ПДн для стран Евросоюза.

Затем выступал представитель ФСБ. Он дистанцировался от ФСТЭК в части закрытости документов (заявил, что их документы публичны). Из интересных вещей сказал, что лицензия на криптозащиту ПДн не нужна (исключая предоставление услуг и распространение шифрсредств). Также ФСБ сейчас готовит регламент проверок по данной теме. Было интересное заявление, что шифровальные средства не являются обязательными для защиты персданных и ФСБ не настаивает на их обязательном применении (в ФЗ хотят внести соответствующий пункт). Также было сказано, что оператор сам определяет какие СКЗИ использовать, но т.к. большинство операторов неквалифицированы, то лучше использовать сертифицированные СКЗИ. Более подробно см. ниже.

Материалы ФСБ по персональным данным
Затем выступал г-н Русаков из Московской области. Он высказал интересную мысль, что в российском законодательстве есть требование уведомлять пострадавших субъектов ПДн о факте утечки их ПДн. Видимо он спутал наше законодательство с американским ;-)

Было два выступления страховщиков - от РСА и от Национальной страховой гильдии. От вторых были политически корректные высказывания, от первых конкретика в предложениях. В раздатке были материалы от РСС.

Предложения Российского Союза Автостраховщиков по ПДн

Затем выступал Андрей Емелин из АРБ. Тоже четко и по делу, с цифрами в руках. Учитывая, что он юрист, аппелировал к законодательству и использовал юридически корректные термины. Из ключевых проблем выделил:
  • что делать с исторически накопленными данными?
  • как идентифицировать субъекта ПДн?
  • что делать с выгодоприобретателями?
  • отзыв согласия
  • вопросы уничтожения ПДн (особенно из взаимосвязанных и взаимопополняемых БД) и т.д.


Предложения АРБ по персональным данным

Затем вне программы выступил человек от Минздрава. Тоже по делу и с описанием конкретных проблем своей отрасли. Сказал, что если ситуацию не изменить, то с 1-го января все здравоохранение встанет, т.к. ни рецепт выписать, ни больного принять нельзя будет. Он вообще предложил отменить "приказ трех".

Потом выступал Курило Андрей Петрович (Банк России). Опять банкир и опять по делу, живо и без бумажки. Предпоследним выступал Слепаков из Ассоциации региональных операторов связи (ничего нового не сказал, только уточнил ряд вопросов). Больше операторы связи не выступали, как и сидящий в президиуме представитель Минкомсвязи ;-( А вот предложения от операторов связи были - от МТС и Инфокоммуникационного союза.

Предложения МТС по персональным данным

Предложения ИнфоКоммуникационного Союза

Завершал слушания Михаил Якушев (от имени АП КИТ). Сказал, что в первончальной версии ФЗ многих этих проблем не было - они появились в результате правки в Госдуме. Предложения от АП КИТ хороши тем, что ориентированы на Интернет-компании и Интернет-сервисы.


Предложения АП КИТ по персональным данным

ЗЫ. Были еще материалы от Минюста и Рособрнауки, но они у меня плохо отсканировались - завтра выложу, как и проект итоговых рекомендаций с их анализом. Эти рекомендации интересны тем, что это то, что будут пробивать депутаты в итоговую новую версию ФЗ.

20.10.09

Новая версия курса по модели угроз

В новую версию курса "Построение модели угроз" были добавлены следующие разделы/темы:
  • 6-й метод определения вероятности угрозы
  • психология восприятия риска при моделировании угроз экспертами
  • как оформлять модель угроз по мнению ФСТЭК
  • модель угроз Банка России.

Новая версия курса по персональным данным

Новая версия курса "Что скрывает законодательство по персональным данным" пополнилась следующими разделами/темами:
  • Соответствие классов ИСПДн и АС
  • Действие договоров, заключенных до принятия 152-ФЗ
  • Относятся ли СКУД и АБС к ИСПДн?
  • Дополнительные разъяснения про обязательную аттестацию и сертификацию (включая ПП-1013)
  • Дополнительные разъяснения обработки ПДн без средств автоматизации
  • Анализ «второй» версии четверокнижия
  • Детали различий с Евроконвенцией
  • Ключевые планируемые изменения ФЗ-152
  • Пример согласия субъекта ПДн и некоторых документов ФСТЭК
  • Анализ проекта административного регламента РКН
  • Типовая программа проведения проверки РКН.

19.10.09

Barracuda покупает Purewire

13 октября производитель средств защиты контента Barracuda Networks завершила процесс приобретения Purewire, которая, как это ни странно, работала в сегменте Security-as-a-Service, предлагая своим заказчикам безопасные Web-сервисы (фильтрацию URL и защита вредоносного ПО). Размер сделки не сообщается, но врядли он был большим, учитывая масштаб и самой Barracuda и Purewire.

PS. Всего лишь пару недель назад Barracuda объявила о приобретении контроля над малоизвестной компанией phion, которая разрабатывает технологии межсетевого экранирования.

Электронный бордель

Так уж повелось, что наши чиновники стали очень чутко реагировать на высказывания первых лиц государства и поддерживать их в своих интервью, общении со СМИ и т.п. Не стал исключением и министр внутренних дел Рашид Нургалиев, очень быстро прореагировавший на заявления Президента Медведева о том, что чиновники будут лично отвечать за уровень инноваций и технического прогресса в своих ведомствах. 16 октября в Россиийской газете опубликована его статья "Электронный патруль" с тенденциозным подзаголовком "В МВД создали системы защиты кибернетического простраства". Прочтя его я подумал, неужели свершилось?.. Ан нет. Статья вызывает и не жалость, и не улыбку, и не злость, а... даже не знаю что. Матом ругаться хочется, но не буду. Суть статьи проста - продемонстрировать усилия подведомственного Нургалиеву министерства в борьбе с киберпреступниками. Разбита она на 4 части.

Первая посвящена рассказу для "непосвященных" о том, какую опасность несет с собой Интернет и иные современные технологии. "Наезды" классические - анонимность, необходимость регистрировать модемы и DSL-маршрутизаторы (как раньше регистрировались мобильные телефоны), рост киберпреступлений, перенос традиционной преступности на инновационные рельсы и другие страшилки. Ничего нового, хотя я удивился, когда увидел, что министр внутренних дел знаком с термином "ботнет" и "ДДоС" ;-)

Вторая часть статьи посвящена "щиту информационных технологий" - Управлению "К", призванному бороться с с преступлениями в сфере высоких технологий. В качестве достижения этого подразделения названы поимка кардеров, "обувших" в прошлом году клиентов Сбербанка, Альфа-банка и Газпромбанка на 20 миллионов рублей, и группа шантажистов, осуществивших DDoS-атаки на 50 сайтов. Дальше больше. Идет классическая статистика - зафиксировано столько-то преступлений, ежегодный рост такой-то! Похвальба идет именно числом зарегистрированных преступлений, а не числом раскрытых из них или доведенных до суда. Это уже видимо на подсознании - говорить о числе "палок", а не реальной работе по снижению их количества или мерах по профилактике компьютерных преступлений. В заключение раздела говорится о признании мировым сообществом значительных усилий Управления "К" в борьбе с порнографией.

Третий раздел посвящен международному сотрудничеству. Вот тут деталей гораздо больше - видимо этому направлению действительно уделяется немало внимания. Еще бы - съездить заграницу, чтобы перенять опыт или поучаствовать в международной конференции, - что может быть лучше. Не буду приводить названия всех конференций, в которых участвовали представители МВД, лучше попробуем понять, каков их результат. А вот его-то и нет. Победные реляции есть, а результата нет ;-( Отчет в лучших традициях партийных съездов советских времен:
  • "был выдвинут ряд инициатив" (а где результат инициатив?)
  • "только в этом году министерство приняло участие в 22 международных мероприятиях" (а кто тогла ловит преступников, если они за границу два раза в месяц летают?)
  • "важно участие в Римско-Лионской группе" (важно? так участвуй!)
  • "мы неоднократно выступали с предложениями" (а где их результат?)
  • "мы за активизацию" (так активизируйте; чего ждать инициатив с другой стороны?)
  • "проведена встреча... предложено" (а было предложение принято? а если да, то что это дало с практической точки зрения?)
  • "инициативы встречают понимание" (в чем конкретно оно выражается?)
  • "прошла встреча офицеров связи правоохранительных органов" (и что? каковы итоги?)
  • "мероприятие способствовало взаимопониманию сторон" (за стаканом небось?)
  • "достигнута договоренность" (и? есть результаты?)
  • "поступило предложение о проведении стажировок за границей" (кто бы отказался? наверняка полковники и генералы поедут?)
  • "состоялся второй раунд консультаций" (и по первому-то что было сделано?)
  • "обсуждались вопросы" (делать надо, а не обсуждать)
  • "итогом встречи стало принятие резолюции" (а конкретный план действий где?)
  • "было разработано соглашение" (а конкретный план действий где?).

Ну и последняя часть статьи посвящена использованием новых технологий для раскрытия преступлений. Тут достаточно просто процитировать "для того, чтобы были достигнуты такие результаты, специалистам органов внутренних дел пришлось пройти сложный путь поиска оптимальных идей, разработки выверенных решений, создания наукоемкой материальной базы, подготовки кадров, соответствующих уровню задач XXI века". О как!

Правда, когда я выступаю перед сотрудниками органов, слышу немного другое. Ну да кому это интересно. Главное, что перед лицом руководства страны МВД на передовой инноваций ;-)

Резюмируя, в статье сказано много всего, звучит оно красиво, но ничего по делу ;-( Я всегда восхищался умением чиновников разводить туман в своих речах, говорить много, но так ничего по делу и не сказать. У Азимова в одном из романов упоминается даже наука, которая призвана анализировать текст и речи и вычленять из них смысл. Так вот в отношении одного из героев романа было сказано примерно следующее "говорил несколько часов, но ничего конкретного так и не сказал". Вот эта статья из этой же области.

ЗЫ. Значит ли это, что оперативники и следователи, занимающиеся преступлениями в сфере высоких технологий, ничего не делают? Конечно же нет. Делают и немало. Но до победных реляций и навешиваний блях на грудь еще очень далеко.

16.10.09

Прикольная реклама Cisco на тему русских хакеров

Прикольная реклама Cisco на тему русских хакеров ;-)

15.10.09

Результаты посещения круглого стола по персданным

Примечание: это повторная публикация майской заметки. На тот момент результаты круглого стола еще не были опубликованы и меня попросили снять заметку. В июле вышел номер журнала со стенограммой этого круглого стола. Я выждал два месяца и решил вновь опубликовать заметку, но уже с большей детализацией.

28-го мая издательский дом Connect провел замечательный круглый стол. Сначала была заявлена одна тема - "персданные", но в ходе мероприятия проявилась и вторая - СТО БР ИББС. Так как я вынужден был уезжать в Казань, то на вторую часть я не остался, но и посещение первой оставило неизгладимое впечатление.

Суть мероприятия была простой - заранее был сформирован список из 13-ти наболевших вопросов по персданным. А на самом круглом столе на них отвечали представители ФСТЭК (Назаров И.Г.), РКН (Васильева Л.Б.) и ФСБ (Гаврилов В.Е.). При этом по ходу представители преимущественно банков (ЦБ, СБ, Возрождение, ВТБ, Газпромбанк, Банк Москвы, Россельхозбанк, Промсвязьбанк и т.д.) задавали наводящие вопросы.

Итак, краткое резюме по наиболее интересным моментам (полная версия стенограммы будет в ближайшем номере журнала Connect).

1. На вопрос про модель угроз и аттестацию последовал следующий ответ ФСТЭК. Согласование модели с ФСТЭК необязательно, но пока, в порядке инициативы ФСТЭК это делает. ТЗ и техпроекты они согласовывать готовы только для крупных систем. И то, только по собственной инициативе и наличии времени. Средний срок согласования модели - 10 дней. Территориальные управления ФСТЭК тоже могут это делать (если согласятся и смогут).

А вот дальше последовала сенсация ;-) На вопрос, кто может аттестовывать ИСПДн ответ был - любой лицензиат ФСТЭК и аттестационные органы ФСТЭК. На мой вопрос, на соответствие чему проводим аттестацию, последовал закономерный ответ - на соответствие требованиям ФСТЭК. А когда я уточнил, что делать для специальных ИСПДн последовал ответ, что аттестовать на соответствие мерам, разработанным по частной модели угроз. Т.е. обычный лицензиат может провести аттестацию на соответствие некому списку мероприятий, которые разработан заказчиком или лицензиатом. Правда, я не уточнил форму аттестата в этом случае.

На мой вопрос, не видит ли ФСТЭК противоречия в том, что одна и та же компания разрабатывает модель угроз, перечень защитных мероприятий, а потом по ним же и проводит аттестацию и выдает заключение, Игорь Григорьевич ответил, что ничего странного в этом ФСТЭК не видит.

На вопрос от банков, будет ли ФСТЭК иметь претензии к организации, для которой лицензиат разработал модель и потом выдал заключение, Назаров И.Г. ответил, что нет, не будет, т.е. лицензиат действует "по имени и по поручению" ФСТЭК, на основе ее документов и позиций.

Вот эта часть была пожалуй самой интересной ;-) Если все будет действительно так, как сказали, то проблем с аттестацией ни у кого быть не должно. Заказчики получат заветную бумажку, а лицензиаты - постоянную статью дохода. Все довольны. Что при этом будет с персданными не совсем понятно, но кого это волнует?

2. На вопрос о наличии лицензии на ТЗКИ ответ был - если сами все делаете, то надо. Если есть договор с лицензиатом, то не надо. Для филиалов банков достаточно общей лицензии (если филиал не является отдельным юрлицом).

3. На вопрос о методике оценки ущерба, ФСТЭК сослалась, что это не в их компетенции. Андрей Петрович Курило всех отослал на сайт подкомитета 3, где выложена методика оценки рисков для СТО БР ИББС, по которой можно оценить реальные риски и отбросить ненужные, например, ПЭМИН, который для абсолютного большинства банков не нужен.

Вообще вопрос включения угроз в частную модель поднимался неоднократно. Можете включать/удалять все, что хотите, если это обоснованно. Таково мнение ФСТЭК. Ни ПЭМИН, ни НДВ из второй редакции четверокнижия удалять не будут, но в частной модели угроз их можно не включать.

4. На вопрос, что делать, если в одной ИС обрабатывается и коммерческая, и банковская тайна, и ПДн, и какой класс присваивать в итоге, последовал закономерный ответ - "по максимуму".

5. Новая версия четверокнижия будет выпущена в конце лета. При этом отличий от первой версии не будет. Собственно вся разница в статусе документов и устранении ошибок и неточностей. Вторая версия будет публичной и пройдет через МинЮст. Из 4-х документов останется только два. Модель угроз получит статус ДСП. Зачем это делать, так никто и не объяснил. Широкого обсуждения второй редакции не будет.

Также было сказано, что скоро (но срок не назвали) выйдет новая версия СТР-К, которая пройдет через МинЮст. Готовьтесь ;-)

6. На вопрос для ФСБ о конкретизации требований по обнаружению вторжения было отвечено, что скоро все будет. Деталей не было.

7. Было много вопросов в сторону РКН, но ясности не появилось. На вопрос банков, понимают ли в РКН, что требования ФЗ "кошмарят" Россию и могут поставить крест на многих направлениях бизнеса, РКН ответил, что "мы не комментируем закон. Вы обязаны его исполнять. И это Ваши проблемы" ;-(

Уже в перерыв я задал два вопроса. Первый касался плановых проверок. На каком основании РКН их проводит. Лариса Борисовна ответила, что неофициально она согласна, что проверять надо только по факту обращения субъекта ПДн, но официально мнение руководства - плановые проверки проводить.

Второй вопрос касался соотносимости ФЗ-152 и Европейской Конвенции. Я задал вопрос, понимает ли РКН, что ФЗ-152 имеет меньшую юридическую силу, чем Конвенция и согласно праву оператор ПДн может в спорных моментах следовать Конвенции, а не ФЗ. Васильева Л.Б. ответила, что да, я прав, но РКН проверял, проверяет и будет проверять на соответствие ФЗ. И что если кто не согласен, то идите в суд, который может и встанет на сторону Конвенции, а не ФЗ. Вот такое правовое у нас государство ;-(

Круглый стол Connect по ПДн

14.10.09

Назначен день Х, когда начнут штрафовать за несоответствие PCI DSS

Как-то все молчат про эту дату и я решил ее осветить ;-) День "Х", начиная с которого Visa начнет штрафовать тех, кто не соответствует стандарту PCI DSS. Касается он, разумеется, не всех, а тех, кто подключен к VisaNet напрямую. По информации из Visa, полученной в прошлую пятницу, момент истины настанет 1-го октября 2010 года. Именно до этой даты надо успеть выполнить требования стандарта для российских организаций.

Ниже я свел воедино некоторые из таких ключевых дат, после наступления которых может наступить расплата ;-)

Соответствие классов ИСПДн и АС

Уже не раз поднимался вопрос о соответствии классов ИСПДн более знакомому понятию АС, которые было прописано еще в 92-м году в соответствующем РД ФСТЭК. И вот, наконец-то, ФСТЭК разродилась в своих методических рекомендациях таблицей соответствия классов ИСПДн и АС.

13.10.09

Новый приказ Минсвязи по безопасности

25 сентября МинЮст зарегистрировал приказ Минсвязи от 25 августа 2009 года № 104 "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования".

Данные требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети "Интернет", утвержденном Постановлением Правительства Российской Федерации от 12 февраля 2003 г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти".

Из технических требований, помимо прочего, вызывает интерес следующие моменты – обязательно использование:
  • межсетевых экранов, сертифицированных ФСТЭК
  • антивирусов и средств обнаружения иного вредоносного ПО, сертифицированных ФСБ
  • регистрация аномальной активности пользователей.

Cisco и отечественные разработчики ИБ - 2

Я уже писал, что на CiscoExpo мы анонсируем несколько совместных решений с российскими разработчиками. Рассказав про 3 из них (с ЦАИР, Поликом-Про и Positive Technologies), коснусь еще двух - Infowatch и Лаборатория Касперского.

Совместное решение InfoWatch и Cisco обеспечивает высочайшую степень защиты сети предприятия в режиме реального времени от внешних и внутренних угроз информационной безопасности. Интеграция двух продуктов осуществляется по ICAP (Internet Content Adaptation Protocol) протоколу. Интегрированное решение предоставляет пользователям, инструменты защиты от внешних и внутренних угроз, а также средства мониторинга и фильтрации данных, передаваемых компанией по HTTP, FTP OWA HTTP и HTTPS каналам. .Независимо от того, какого рода конфиденциальную информацию (персональные данные или технологическая информация, номера кредитных карт или телефонов) нужно защитить от внутренних или внешних угроз, интегрированное решение эффективно пресекает любые попытки несанкционированных действий как со стороны сотрудников компании, так и со стороны внешних злоумышленников.

Kaspersky Anti-Virus for Cisco AXP — решение для защиты интернет-трафика (HTTP и FTP), проходящего через модуль Cisco AXP для маршрутизаторов Cisco ISR. Приложение осуществляет поиск и удаление вирусов всех типов, а также червей, троянов и других вредоносных программ в потоке данных, проходящих через установленный модуль AXP. Решение обеспечивает высочайшее качество обнаружения и лечения вирусов в любых типах файлов, а также вложений: Anti-Virus for Cisco AXP поддерживает свыше 70 форматов архиваторов (более 420 версий) и свыше 260 типов упаковщиков исполняемых файлов (более 1330 версий). С помощью большого количества параметров фильтрации (IP- и URL-адреса, типы, MIME-типы и размер файлов) можно настроить индивидуальные правила проверки для различных групп пользователей.

Анонс этих решений будет сегодня

12.10.09

Шаблоны документов по персданным

Я уже писал про методические рекомендации ФСТЭК, в которых приведен набор шаблонов документов, которые могут понадобиться при организации работ по защите ПДн. Надо отметить, что шаблоны документов сыроваты и не всегда привязаны к ПДн. Видимо взяты из внутренних документов ФСТЭК по аттестации, СТР-К и т.п. Пока выкладываю три документа, которые я оформил в более удобоваримом формате.

Первым идет заключение о возможности эксплуатации СЗИ. Можно заметить, что оно очень сильно привязано к навесным СЗИ и только для персоналок (АРМ). Его нетрудно модифицировать для учета СЗИ на серверах. А вот для остальных ОТСС (например, сетевое оборудование) придется помучиться.

Заключение о возможности эксплуатации СЗИ

Вторым идет акт обследования ИСПДн, который может подменить и паспорт ИСПДн, который иногда упоминается в различных документах регуляторов. Тоже есть претензии, но все исправимо без серьезных проблем. Хотя вопросы остаются. Как, например, в части защиты ПДн мне поможет знание того, что у меня полносвязная сеть или кольцо (давно ли сети строят по данной топологии)?

Акт обследования ИСПДн

И наконец, описание СЗИ ПДн. В оригинале описание включало только организационные и технические меры защиты. В соответствии с трехглавым законом я добавил еще и правовые меры.

Описание СЗИ

Скоро выложу продолжение...

ФСТЭК выложил документы по персданным в открытый доступ

Как уже наверное многие знают, ФСТЭК в субботу выложила у себя на сайте часть документов по персданным. Учитывайте, что текст в этих файлах отличается от полной версии и тем более от той, которая была выпущена в прошлом феврале (хотя дата у них всех одинаковая).

Пока не буду особенно эту тему развивать - надо провести более детальный анализ всех имеющихся у меня версий ;-)

10.10.09

Карикатура на меня ;-)

Дожил, на меня уже карикатуры стали рисовать ;-)

Взято отсюда

9.10.09

Новый учебник по аутентификации

Решил написать про новую книжку по ИБ, которая была анонсирована на InfoSecurity Russia 2009. Речь идет о "Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам". Учебное пособие создано в рамках сотрудничества Aladdin, Microsoft, Cisco, Oracle, Citrix, а так же Томского Государственного Университета систем управления и радиоэлектроники (ТУСУР) и компании КРИПТО-ПРО.

«Аутентификация…» имеет рекомендации Учебно-методического объединения по образованию в области информационной безопасности и одобрена ФСТЭК России в качестве учебного пособия для студентов высших учебных заведений, обучающихся по профильным специальностям.

Впечатления от InfoSecurity Russia 2009

Итак, на прошлой неделе закончилась выставка-конференция InfoSecurity Russia 2009. Улеглись страсти и можно спокойно собрать впечатления в кучку и выплеснуть их на страницы блога.

С точки зрения организации этот год оказался не самым удачным для организаторов. Найти выставку на территории Экспоцентра было непросто. Даже охрана на входе не знала про это мероприятие, а уж про баннеры и указатели я вообще молчу. Они были только на одном из трех входов в Экспоцентр. И если в первый день мне повезло и я прошел через незакрытый грузовой вход, то во второй день пришлось делать большой крюк через территорию всего экспоцентра, чтобы пробраться к входу с набережной. Про питание я промолчу - очередь в единственное кафе зашкаливала разумные пределы. Также было непонятно, зачем была перекрыта лестница с 4-го этажа на 1-й? Слушатели узнавали об этом уже на первом этаже, что вынуждало их возвращаться пешком на 4-й, а оттуда спускаться на одном из трех работающих лифтов. Ну да ладно... Что у нас было с экспонентами?

Мне показалось, что выставка стала меньше. И по площадям и по экспонентам. Многие компании, участвовавшие в прошлые года, в этот раз выставку проигнорировали. Может кризис сыграл свою роль, может еще что-то... Из представленного ничто что-то и не запомнилось - прорывов не было. Такое впечатление, что сотрудники экспонентов ходили от стенда к стенду, пообщаться с коллегами (что тоже немало).

По конференционной части тоже ничего сверхестественного не было. Выступления мало чем отличались от прошлогодних и это несмотря на кризис. И хотя изначально на программном комитете речь шла о правильных вещах и освещении правильных проблем, в итоге все вылилось в банальную рекламу себя и своих продуктов ;-( Я уже писал пару лет назад про свое отношение к выставкам ИБ в России. Надо признать, что ничего не поменялось. Изначально порочный подход, когда доклады в первую очередь отдаются тем, кто платит деньги, проявил себя во всей красе ;-(

Как всегда, народ пошел на выступление регуляторов по теме персданных. Кто-то еще надеется, что регулятор скажет что-то полезное и правильное. Но нет. Ничего стоящего так и не прозвучало. По их мнению, ситуация с нормотворчеством по ПДн у нас нормальная и проблем ни у кого нет. Идеальной иллюстрацией к позиции регулятора является вот эта фотография, на которой представитель ФСТЭК, закрыв на все глаза, пожимает руку интегратору ИБ, сжимая в другой руке бейсбольную биту и пакетик с подарками ;-)

Другого что-то и не запомнилось ничего. Отдельные доклады и докладчики были, как всегда, на высоте, но в целом как-то грустно. То ли кризис так на всех действует, то ли осеннее обострение, то ли просто непруха.

ЗЫ. Можно сравнить эти впечатления с оценкой выставки в 2007 году.

ЗЗЫ. Другие впечатления от выставки и победная реляция.

8.10.09

ФСТЭК начинает бороться с коррупцией в своих рядах

ФСТЭК на своем сайте опубликовала проект Приказа "Об утверждении Положения о порядке проведения антикоррупционной экспертизы нормативных правовых актов (проектов нормативных правовых актов) Федеральной службы по техническому и экспортному контролю".

Положение разработано в соответствие с пунктом 3 части 1 статьи 3 Федерального закона от 17 июля 2009 г. № 172-ФЗ "Об антикоррупционной экспертизе нормативных правовых актов и проектов нормативных правовых актов".

Суть Положения проста - юристы ФСТЭК проводят экспертизу выпускаемых ФСТЭКдокументов по методике проведения экспертизы проектов нормативных правовых актов и иных документов в целях выявления в них положений, способствующих созданию условий для проявления коррупции, о которой я уже писал. Срок экспертизы - не более 10-ти дней с возможностью увеличения еще максимум на 20 дней.

Осталось подождать, когда будет принято данное Положение и, главное, когда оно начнет реально работать.

7.10.09

ФСТЭК выпустил методические рекомендации по методическим рекомендациям

Одно из региональных управлений ФСТЭК выпустило "Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Иными словами это методичка как пользоваться методическими документами ФСТЭК, известными всем под названием "четверокнижие".

По сути своей этот 58-тистраничный документ представляет собой некоторые разъяснения по неосвещенным в четверокнижии моментам. Например, ФСТЭК прямо пишет, что "практически все ИСПДн являются специальными информационными системами, поскольку в соответствии с требованиями Постановления Правительства №781 должна быть обеспечена возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Таким образом, обеспечение целостности является обязательным условием, отличным от конфиденциальности". Аргументация, конечно, корявая, но вывод сделан правильный.

Однако несмотря на это, специальной ИСПДн все равно необходимо присвоить класс исходя из "Приказа трех". Т.е. специальная ИСПДн тоже классифицируется исходя из 4-х классов на основе объема и категории ПДн. Из других "интересных" рекомендаций:
  • Создание выделенного подразделения, единственная задача которого - защита ПДн.
  • Модель угроз ни с кем согласовывать не надо (особенно с ФСТЭК).
  • На основании модели угроз разрабатывается перечень защитных мероприятий. Ни слова про "Основные мероприятия". Т.е. как бы список разрабатывается самостоятельно. Но вот далее ниоткуда возникает требования опираться только на перечень защитных мер из "Основных мерпориятий". Связи я так и не нашел.
  • Уничтожение ПДн с магнитных носителей должно осуществляться только средствами гарантированного уничтожения информации.
  • Дана таблица соответствия классов и типов ИСПДн классам АС согласно РД ФСТЭК.
  • Дана таблица соответствия классов и типов ИСПДн классам МСЭ согласно РД ФСТЭК.
  • Интересно, что ссылки на нормативные документы ФСБ по защите ПДн даются не сайт ФСБ, не на сайт РКН, а на сайт Информзащиты и сайт www.iso27000.ru.
  • Для ИСПДн 1-го и 2-го класса разрешается исключить из модели угроз утечки за счет ПЭМИН. Про остальные технические каналы утечки ни слова - защиту от акустики и видовых утечек обеспечивать все равно надо.
  • Под декларированием ФСТЭК в нарушении ФЗ "О техническом регулировании" понимает просто издание оператором ПДн документа, объявляющего ИСПДн соответствующей требования безопасности. Напомню, что это требуется для ИСПДн 3-го класса.
  • Аттестация проводится лицензиатом ФСТЭК. По идее любым, но при условии наличия у него спецаппаратуры, что есть далеко не у всех.
  • В качестве средств защиты от НСД можно использовать ОС с сертификатом ФСТЭК.

Из очень полезных разделов этого документа могу назвать:
  • Содержание Положения по организации и порядку проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
  • Списки и содержание документов, требуемых для обеспечения ПДн (например, журнал маркировки носителей ПДн, журнал учета СЗИ, инструкция по порядку резервирования ПДн).

Большой интерес вызывают приложения этой методички. В частности, в них приведены формы следующих документов:
  • Акт классификации ИСПДн (ничем не отличается от выложенного мною).
  • Матрица доступа пользователей к защищаемым информационным ресурсам ИСПДн
  • Приказ "Об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн"
  • Список сотрудников, доступ которых к ПДн, необходим для выполнения служебных обязанностей
  • Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн
  • Модель угроз
  • Требования по обеспечению безопасности ПДн при их обработке в ИСПДн
  • Журнал учета СЗИ
  • Заключение о возможности эксплуатации СЗИ
  • Инструкция по организации резервирования и восстановления ПО, баз ПДн
  • Журнал учета машинных носителей ПДн
  • Акт обследования ИСПДн
  • Заключение по результатам атестационных испытаний
  • Описание системы защиты ПДн в ИСПДн
  • Аттестат соответствия ИСПДн
  • Уведомление об обработке ПДн
  • Свидетельство о неразглашении конфиленциальной информации (персональных данных)

Можно заключить, что отдельные управления ФСТЭК пошли навстречу потребителю и выпустили документы, которые уменьшают число вопросов по официальной позиции регулятора. Не со всем в этом документе я согласен, но наличие большого количества шаблонов документов, делает документ достаточно полезным.

ЗЫ. Начну выкладывать формы упомянутых документов сюда в блог в ближайшее время.

6.10.09

AT&T покупает консалтинговый бизнес Verisign

1 октября AT&T анонсировала покупку консалтингового бизнеса по безопасности компании Verisgn. Детали сделки не разглашаются. Судя по всему, AT&T решило не упускать поляну, на которой уже давно сидят Verizon и BT с их мощными подразделениями по ИБ.

Cisco и отечественные разработчики ИБ

В предверии CiscoExpo, о которой я уже писал, хочу коснуться темы поддержки западными вендорами отечественных разработок в области ИБ. В этом году было решено сделать отдельный поток, посвященный интеграции решений моего работодателя (Cisco, если кто е знает) с различными отечественными разработчиками.

Первое описываемое решение - совместный продукт отечественной компании ЦАИР и Cisco для операторов связи. Данное решение ориентировано на операторов широкополосного и мобильного доступа в Интернет, и позволяет им предоставлять услугу "Родительский контроль" для своих абонентов. Решение основано на архитектуре Cisco SEF и системе URL-категоризации компании ЦАИР.

Компания "Поликом-Про", российский системный интегратор, будет демонстрировать программно-аппаратный комплекс, представляющий собой совместное решение Cisco, "С-Терра СиЭсПи" и "Лаборатории Касперского". Решение призвано повысить безопасность периметра сети без изменения существующей ИТ-инфраструктуры компании. Cisco NME-RVPN c ПО "Лаборатории Касперского" представляет собой модуль, встраиваемый в маршрутизаторы Cisco ISR серий 2800 и 3800. Он позволяет строить защищённые туннели с использованием алгоритмов ГОСТ, проверять HTTP- и FTP-трафик на наличие вредоносного кода, а также обеспечивать антивирусную и антиспам-защиту почтового трафика. Решение гарантирует комплексную защиту от всех видов вредоносных программ на уровне шлюза. Благодаря объединению в одном модуле антивирусной защиты и средств шифрования, оно идеально подходит для небольших и территориально-распределенных компаний.

Третье анонсируемое на CiscoExpo решение - интеграция системы безопасности мониторинга, анализа и реагирования на события Cisco MARS и системы контроля защищенности и соответствия стандартам MaxPatrol, разработанной компанией Positive Technologies. Интеграция продуктов позволяет использовать результаты оценки защищенности, полученные MaxPatrol в системе Cisco MARS. Эта информация используется системой Cisco MARS для построения топологии сети и корреляции событий безопасности с учетом реальных уязвимостей, обнаруженных MaxPatrol.

5.10.09

Роскомнадзор запускает портал по ПДн

И вновь об Интернет-ресурсах. Пару недель назад я уже проходился на тему того, что РКН ничего не делает для реальной защиты и субъектов и операторов ПДн. И вот приятные новости - РКН запустил портал по персональным данным. Пока там немного действительно полезной информации - FAQ да 57 отечественных нормативных актов по ПДн. Есть еще форум, но судя по его правилам, размещаться на нем сообщения будут только путем премодерации. Т.е. действительно острого там ничего не будет. Но начинание похвальное...

Энциклопедия по ИБ по-русски

В Интернете запущен новый ресурс WikiSec, который должен стать по задумке авторов, энциклопедией информационной безопасности. Проект только стартует и информации там маловато, но так как в его основе оежит идеология Wiki, то каждый может стать автором WikiSec.

PS. Складывается впечатление, что это продолжение проекта "Открытая безопасность" с сайта IT4Business. Там он исчез, зато возродился как птица Феникс в новом месте.

2.10.09

Применение DLP с точки зрения российского и международного законодательства

На конференции DLP Russia 2009 я выступаю с докладом "Российские и международные стандарты и нормативы в контексте DLP-решений". Презентацию выкладываю.



ЗЫ. Опять же презентация сделана в русле уже не раз упомянутого курса по стандартам и законам в области информационной безопасности. Тема, начатая на InfoSecurity, продолжается.

1.10.09

Что думает ФСТЭК о своих документах по ПДн

Лежит у меня перед глазами официальное письмо ФСТЭК в одну отечественную организацию, в котором она (т.е. ФСТЭК) отвечает на ряд вопросов. Не буду пересказывать все 5 страниц этого манускрипта, коснусь только ключевых моментов:
  1. Четвере документа ФСТЭК "содержат информацию ограниченного доступа, не являются нормативными правовыми актами и не требуют особой процедуры их опубликования". Где там информация ограниченного доступа? И как быть с требованием наличия лицензии на ТЗКИ, которая меняет правовой статус оператора ПДн и, следовательно, требует выполнения ПП-1009 (которое в письме, кстати, тоже упоминается, но в контексте "Приказа трех").
  2. "В пакете документов ФСТЭК сохранена преемственность подходов ранее разработанных документов, а для ряда классов информационных систем они значительно упростились". Про преемственность - полная правда. Документы по гостайне или коммерческой тайне очень похожи на четверокнижие. А про упростились, видимо ФСТЭК имеет ввиду 4-й класс ИСПДн ;-)
  3. Методички ФСТЭК утверждены в феврале 2008 года, т.е. до вступления в силу Постановления Правительства РФ от 5 марта 2009 г. о коррупциогенности и "не требуют проведения эксперты в целях выявления в них положений, способствующих созданию условий для проявления коррупции". Согласен, если бы ФСТЭК не изменял свои документы уже несколько раз. Правда, каждый раз изменения касаются всего, кроме даты подписания ;-) Она по-прежнему - февраль 2008 года.
  4. "В настоящее время ФСТЭК России проводит работу по приведению в соответствие с ФЗ-294 документов ФСТЭК по вопросам проведения государственного контроля и надзора". Хотелось бы посмотреть ;-)
  5. Для аттестации ИСПДн 1, 2 и 3-го распределенного класса можно привлечь любого лицензиата ФСТЭК.

Вот такое письмо. Написано согласно законам бюрократии - текста много, пользы ноль. Зато формальности соблюдены ;-(