30.12.10

С Новым Годом и Рождеством!



Коллеги!

Сегодня мой последний пост в этом году. Поэтому я не буду посвящать его безопасности и просто поздравлю всех с наступающим Новым Годом и православным Рождеством. Пожелаю всего самого хорошего вам и вашим близким, здоровья, благополучия, интересной и неплохо оплачиваемой работы, удовлетворения собой и своими делами, достойных дел на благо других и всего того, что вы сами себе желаете.

Опять смотрю с надеждою вперед,
Опять, как в детстве безоглядно верю,
Что Счастье принесет мне Новый Год,
Залечит раны, возместит потери.

Болезни, горе, страх,— я все перемогу,
Из ямы вылезу навстречу солнцу, свету
И докажу и другу, и врагу,
Что песенка моя пока еще не спета.

Припав к окну, ищу свою звезду.
Снег падает на Землю величаво.
Грядет единственная Ночь в году,
Когда грустить мы не имеем права! 

Из Риммы Казаковой

Удачи в новом году!

ЗЫ. Следующая заметка выйдет уже 10-го января 2011-го года.

29.12.10

План мероприятий по ИБ на 2011 год

Актуализировал я список крупных мероприятий по ИБ на 2011-й год.

Big Information Security Events in Russia for 2011

ЗЫ. Если вдруг что-то упустил, то готов внести правки ;-)

28.12.10

Законопроект Аксакова подписан Президентом

Президент Медведев подписал 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных"". Закон вступает в силу 1 января 2011 года, а отсрочка продлена до 1 июля 2011 года. Хороший подарок к Новому Году!

27.12.10

Горячая линия АРБ по ПДн

То, о чем говорилось на сентябрьской конференции АРБ по персональным данным, все-таки совершилось. Процесс запуска "горячей линии" (она же "консультационный центр") АРБ в помощь банкам в части выполнения требований ФЗ-152 и СТО Банка России вышел на финишную прямую. На прошлой неделе в АРБ состоялась встреча участников этого консультационного центра, в который вошли представители ФСБ, ФСТЭК и Роскомнадзора, АРБ и Банка России, а также независимые эксперты, среди которых и я ;-)

Возможно на этой неделе (в крайнем случае на первой неделе нового года) от имени Президента АРБ будет разослано соответствующее письмо и можно будет писать свои вопросы и ждать в установленный срок ответов на них.

ЗЫ. Срок подачи уведомления о присоединении к СТО сдвинут до 1-го февраля 2011 года.

24.12.10

А вот и план проверок ФСТЭК

ФСТЭК опубликовала план проверок на 2011-й год. Всего 113 организаций. Основная масса проверок касается предупреждения, выявления и пресечения нарушений лицензионных  условий и требований, а также обязательных требований в области экспортного контроля. По линии персданных всего 9 проверок.Судя по выбранным регионам, ФСТЭК просто хочет проверить, как территориальные управления будут работать по этому направлению.

Теперь ИБ занялись и в ОДКБ

21 декабря в Совете Федерации Комитет палаты по обороне и безопасности провел Международную научно-практическую конференцию на тему "Скоординированная информационная политика государств-членов ОДКБ – одно из приоритетных направлений противодействия современным вызовам и угрозам, обеспечения эффективности совместных усилий по созданию системы коллективной безопасности".

На конференции был поднят ряд приоритетных для обсуждения вопросов. В их числе обмен опытом и формирование общей стратегии по преодолению угроз и вызовов, развитие в государствах – членах ОДКБ спецподразделений по борьбе с преступлениями в информационной сфере, совершенствование системы подготовки специалистов и оснащения современной спецтехникой, укрепление сотрудничества научных и общественных организаций стран ОДКБ.

Я все ждал, когда утечки WikiLeaks найдут свое отражение и в нашей сфере. И вот Председатель Совета Федерации Сергей Миронов прокомментировал на конференции ОДКБ это так: "События, связанные с распространением компрометирующих материалов информационным ресурсом WikiLeaks (викиликс), показали, что информационная безопасность как отдельного государства, так и всей системы международной безопасности в целом оказывается зависимой от субъективных желаний и предпочтений отдельных лиц, какими бы благородными мотивами они не руководствовались. В этой связи считаю необходимым на законодательном уровне парировать эту угрозу". Посмотрим, что нам принесут эти слова? Видимо результата стоит ждать уже в 2011-м году. По крайней мере на конференции членам ОДКБ предлагалось активизировать работу по разработке законов, направленных на совершенствование юридической ответственности за несоблюдение требований информационной безопасности.

23.12.10

Роскомнадзор выложил план проверок на 2011-й год

Собственно вся новость в заголовке ;-) Качать тут. Архив занимает 626 Кб, а в исходном формате Word - 8,7 Мб.

22.12.10

Поправки ко второму чтению законопроекта Резника

Мы все гадали, почему так долго тянется эпопея с внесением поправок в законопроект Резника, готовящегося ко второму чтению. И вот вчера вечером я ознакомился с этими поправками. Все сразу встает на свои места - там их просто МОРЕ без конца и края. Текст законопроекта Резника занимает всего 16 страниц (хотя он содержит только поправки к ФЗ-152). Сам ФЗ-152 занимает те же 15-16 страниц. Предлагаемый ко второму чтению вариант содержит 46 (!) страниц.

Он включает поправки от разных участников этой увлекательной игры. Анализировать его весь у меня пока желания нет ;-) Я его пробежал, обратил внимание на ключевые моменты, которые в него попали (даже несмотря на критику Правительства РФ) и успокоился ;-) Но некоторые моменты действительно радуют. Например, признание международных стандартов по безопасности ПДн. Или расширение перечня ситуаций, когда не требуется согласие. Например, в текст поправок внесен пункт про "баланс интересов", которого так не хватает в текущей версии ФЗ и который есть в Евроконвенции. Или разрешение конфликта совпадания ПДн и других видов тайн. И таких приятных сюрпризов немало. Например, попытка вывести из под действия ФЗ все, что попадает под 115-ФЗ. А так как под этот ФЗ попадают все банки (почти все их операции), то если поправка пройдет, то банки смогут спать спокойно ;-)

21.12.10

Что ФСТЭК нам готовит в следующем году - часть 2

Продолжаем рассмотрение того, что ФСТЭК нам готовит в следующем году:
  • К концу 2011 года появятся новые требования по сертификации средств активной защиты от утечек по техническим каналам (ПЭМИН и АС в защищенном исполнении).
  • Также готовятся новые редакции РД по АС и СВТ. Ходят слухи об изменении СТР-К, но непонятно в каком направлении.
  • НДВ для ИСПДн К1 остается. А также разрабатываются требования для НДВ прикладного ПО для некоторых видов конфиденциальной информации! Как ФСТЭК хочет провести это предложение я пока не понимаю.
  • В следующем году будет также разработано "Положение об аттестации объектов информатизации, обрабатывающих информацию конфиденциального характера". Статус аттестации объектов для КИ и ПДн не совсем понятен.
  • Сама ФСТЭК перестает быть органом по сертификации средств защиты конфиденциальной информации и ПДн - за ней останется только функция госконтроля за сертификационными испытаниями и аккредитация лабораторий. По ГТ все остается без изменений.
  • Появятся эксперты системы сертификации. Они должны будут аттестованы по специальной процедуре. Эксперты должны придать системе сертификации доверия. Правда, по сути, эти эксперты мало что меняют, на мой взгляд.
  • От сертификации по ТУ ФСТЭК будет отходить. Планируется оперативно разрабатывать нормативные документы вместо ТУ. При этом новые РД в течение 1-2 лет будут носить характер временных (по аналогии с ФСБ) с целью сбора замечаний и практических рекомендаций. По истечении 2-х лет документ будет актуализироваться и получать статус основного РД.
ЗЫ. А еще ФСТЭК признает, что ФСБ является головным регулятором в области защиты госорганов.

20.12.10

Что ФСТЭК нам готовит в следующем году?!

Во исполнение ПП-330 ФСТЭК готовит сейчас проект нового положения "Об оценке соответствия продукции (работ, услуг), используемой в целях защиты информации конфиденциального характера, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации и хранения".

Какие ключевые моменты в данном положении могут быть отражены:
  • Описывает порядок организации и проведения обязательной сертификации продукции, а также госконтроля и надзора.
  • Будет распространяться на госресурсы и ПДн (ибо в ПП-330 только про это сказано).
  • Применяться будет к средствам ЗИ, средствам, в которых реализованы ЗИ и средствам контроля эффективности.
  • В нем предлагается сделать аттестацию государственных объектов информатизации обязательной (пока только на уровне предложения).
  • В этом же положении будет отражен вопрос признания сертификатов, выданных ФСБ, ФСТЭК и МО на категории систем защиты (МСЭ, IDS и т.п.). Но пока непонятно как.
  • Предлагается сертификаты сделать бессрочными, а для сертификатов на серийное производство установят срок действия три года (пока только на уровне предложения).
  • Средства иностранного производства сертифицируются также как и все остальные. Признания выданных заграницей сертификатов не будет.
  • Будет описана процедура обновления сертифицированных средств защиты, но вопрос с доверенным источником обновления и вопрос с сертифицированными обновлениями баз сигнатур (не продукта) остается открытым.
  • Будет описан порядок инспекционного контроля сертифицированных средств.
  • В процессе сертификации появится новый этап - рассмотрение заявки на сертификацию и оценка возможности сертификации средства защиты (будет определен набор необходимой конструкторской и эксплуатационной документации).
  • Сам проект выложат на сайт ФСТЭК на 30 дней, а после этого будет согласование с МинЭкономРазвития. Когда, неизвестно.

Вот такие "приятные" новости ;-( Если положение примут и если не пройдут изменения Резника по ст.19, то будем все курить бамбук - любые экзерсисы насчет добровольной сертификации будут нервно курить в сторонке.

16.12.10

Новая версия курса по персданным

Сегодня последний раз в этом году я читаю курс по персданным. И вот те изменения, которые в него вошли (версия 2.3):
  • Законопроект Аксакова о переносе сроков
  • Сводный перечень ошибок операторов ПДн по версии РКН
  • «Письма счастья» РКН
  • 227-ФЗ и законопроект №454517
  • Работа коллекторских агентств в контексте ФЗ-152
  • Продажа долгов заемщиков в контексте ФЗ-152
  • Актуализация последних изменений законодательства на декабрь 2010
  • Замена приказа Росархива на приказ Минкульта
  • О письменном согласии на обработку ПДн
  • Примеры обработчиков ПДн (в противовес операторам ПДн)
  • Как проверить работу консультанта?
  • Алгоритм действий для "тех, кто начинает"
  • Актуализация информации по оценке соответствия (сертификации) с учетом последних новостей из ФСТЭК и ФСБ
  • Проект по ПДн – зачем нужен и что получим?
  • Сроки и стоимость проекта по ПДн в 2010 году – примеры из практики
  • Реалии «письма шести»
  • Как отсоединиться от СТО?


За прошедшие 2 года через этот курс прошло около 700 организаций; преимущественно банков, благодаря которым курс и развивался, наполнялся новыми примерами и рекомендациями. Если начинал я с 300 слайдов, то сегодня их уже 632 и это далеко не конец.

В следующем году, я планирую расширить этот курс до двух дней, т.к. уже сейчас я не успеваю вместить все в один день. Некоторые темы приходится проскакивать, чтобы успеть рассмотреть все вопросы. Поэтому и приходится увеличивать курс. Но зато я смогу раскрыть и часть новых тем, связанных уже с "техникой" и, возможно, практическими занятиями. Как минимум, я думал о том, чтобы включить в программу описание проекта по ПДн (с шаблонами в MS Project) и расписать все ключевые моменты этого проекта (этапы, сроки, ресурсы, реперные точки, риски и т.п.). Так что на месте не стоим ;-)

15.12.10

Совет Федерации одобрил аксаковский законопроект

Вчера Совет Федерации одобрил аксаковский законопроект. Остался Президент РФ.

14.12.10

Регулирование ПДн - карта

Разместив карту регулирования криптографии, я стал доводить до ума аналогичную карту по части регулирования ПДн. Но тут возникло несколько сложностей, основная из которых - большой объем информации. Гораздо бОльший, чем по линии криптографии. Поэтому я публикую карту только с двумя уровня иерархии. Возможно я еще поиграюсь с ней и смогу разместить на одном листе (хотя бы А3) и больше информации. Хотя это непросто - только приказов различных органов власти 2-3 десятка. На данных момент найденных мной различных приказов и постановлений субъектов РФ еще столько же. Упоминаний ПДн в нормативных актах различных уровней - под пару сотен. А уж названия у всех них... длинные, мама не горюй.

Но в целом работой я доволен ;-) Систематизировал разрозненные и выпущенные за последние 2-3 года нормативные акты и даже наткнулся на такие, каких либо еще не видел, либо я их видел, но забыл. Как, например, письмо Минкомсвязи с разъяснением, что такое "страны с адекватной защитой прав субъектов ПДн".

ЗЫ. Комментарии, как всегда, welcome ;-)

Personal Data Regulation in Russia

13.12.10

Почему открытые исходники не есть хорошо с точки зрения безопасности?

Еще одно исследование. "The Mathematics of Obscurity: On the Trustworthiness of Open Source". Дрезденский технический университет. Автор исследования поставил перед собой задачу ответить на вопрос: что лучше с точки зрения безопасности - иметь исходные коды ПО или не иметь их?

В рамках исследования была построена модель, которая и стала предметом изучения. Были исследованы как "за" так и "против" наличия исходных текстов, изучен жизненный цикл уязвимостей и ошибок и ряд связанных вопросов. Итог неутешителен - наличие исходных кодов не делает его безопаснее, даже при наличии большого числа желающих этот код анализировать. Давно известный принцип secuirty through obscurity в данном случае является верным. Но при этом авторы говорят, что делать окончательные выводы еще рано и важно учитывать не только один единственный факт наличия/отсутствия исходников, но смотреть на проблему шире, учитывая и другие аспекты. Например, распространенность ПО. Пример MS Windows показывает, что отсутствие исходников не дает нам права утверждать о большей защищенности этого семейства операционных систем. Но и пример Linux не позволяет утверждать обратное.

Резюме исследования: Неизвестность (отсутствие исходников) может являться вполне надежным сдерживающим фактором для злоумышленников. Но наличие исходников позволяет получить иные преимущества. Например, возможность исследований исходников, обеспечение права на доступ к информации и т.д. Правда, к безопасности они не имеют никакого отношения.

12.12.10

Аксаковский законопроект - три чтения завершены

Итак, в пятницу прошли сразу второе и третье чтения поправок в закон "О персональных данных", внесенных депутатом Аксаковым. Срок сдвинут не на год, а на полгода - до 1 июля 2011 года.

ЗЫ. В этот же день в первом чтении принят законопроект "О национальной платежной системе".

10.12.10

57-ФЗ снова в прицеле ньюсмейкеров

Благодаря Алексею Волкову обратил внимание на завершение истории с 57-ФЗ, касающимся иностранных инвестиций в предприятия, имеющие стратегически важное значение для обороны страны. Напомню предысторию. Один европейский банк задумался о риске, связанном с наличием у них лицензии ФСБ на деятельности в области шифрования. Риск многими воспринимался как несущественный, пока ФАС не отказала RBS'у в получении контроля над своим дочерним ЗАО "Королевский банк Шотландии", ссылаясь именно на наличие у последнего лицензий ФСБ, необходимых для оказания услуг ДБО. Спустя месяц ФАС внесла в Правительство предложение об исключении банков (почему только их) из под действия ФЗ-57 в части лицензий ФСБ.

И вот заключительный (возможно) аккорд этой истории - ЗАО "Королевский банк Шотландии" отказался от лицензий ФСБ только по той причине, что головная организация не смогла получить над ним контроль. Видимо риск отсутствия контроля над дочерним предприятием для RBS показался куда более существенным, чем отток клиентов, не имеющих возможности пользоваться услугами ДБО, или вероятность положительного рассмотрения предложений ФАС в весеннюю сессию.

Возможны, конечно, и иные мотивы. Например, КБШ планирует вновь запросить лицензию ФСБ после завершения процедуры получения контроля со стороны RBS. Возможно? Вполне. Но вот насколько теперь сама ФСБ готова будет "вернуть" лицензию ренегатам? Тот еще вопрос. Возможен и иной сценарий - КБШ нашла сценарии обоснования ненужности лицензий ФСБ при оказании услуг ДБО. Таких сценариев, в общем-то, немало, но надо иметь смелость, чтобы идти супротив Конторы.

Остается ждать, чем все-таки завершится эта история...

9.12.10

Парадокс защиты персональных данных

В марте этого года я наткнулся на интересное исследование (надо заметить, что Cisco помогала в его проведении), в котором доказывается очень интересный парадокс. Оказывается, увеличение контроля над персональными данными чаще приводит к готовности субъектов ПДн публиковать свои данные в открытом доступе, даже если они знают, что к этим данным получат доступ посторонние люди. А вот снижение уровня контроля и внимания к данной теме, наоборот, приводит к тому, что люди реже готовы публиковать свои ПДн и больше беспокоятся о защите своей частной жизни. Иными словами у субъектов ПДн проявляется сопротивление - чем больше их заставляют думать о защите своей частной жизни, тем больше они сопротивляются этому и даже готовы сами, в качестве протеста, раскрывать свои ПДн.

ЗЫ. Вспомнил я про это исследование после публикаций на WikiLeaks. И хотя тут нет прямой связи (все-таки в WikiLeaks опубликованы не персональные данные), но можно попробовать провести параллели.

8.12.10

Как Intel договаривался с ФСБ

Все-таки история WikiLeaks достаточно интересна. И не только тем, что под ее соусом сейчас можно активно DLP -решения в госорганы продавать, но и тем, что в результате утечки проявляются очень интересные факты. Например, о том, как Intel надавил на ФСБ и последняя разрешила ввозить строгую криптографию Intel в обход существующих правил ввоза шифровальной техники.

Такие правила четко регулируют, что и как можно ввозить в Россию. Грубо говоря, правило следующее - вся криптография с длиной ключа 56 бит и менее ввозится по уведомительной схеме. Производитель направляет в ФСБ нотификацию, которая в 10-тидневный срок регистрируются, после чего оборудование/ПО, указанное в нотификации ввозится в Россию без каких-либо ограничений.

Для шифровальных средств с длиной ключа более 56 бит схема иная - на каждую партию, ввозимую в Россию, требуется разрешение ФСБ и лицензия Минпромторга. Схема негибкая, непрозрачная и длительная по времени (сопоставима со стандартными сроками поставки). Из данного правила есть ряд исключений, касающихся специфичных случаев использования криптографии - в беспроводке (в диапазоне до 400 метров), в финансовых и платежных операциях, в телевидении, в операционных системах и т.п.

Соответственно у производителя, использующего криптографию, до недавнего времени было всего 3 сценария действий. Первый - не ввозить в Россию строгую криптографию, что малореально, т.к. сегодня почти любое устройство (мобильный телефон, телевизор, компьютер, GPS-навигаторы и т.д.) содержат строгую криптографию. Отказываться от такого рынка никто не будет. Второй сценарий - заблокировать строгую криптографию, оставив только DES. По такому пути, например, пошли мы в своем оборудовании. И третий путь - самый длительный и непростой - получать разрешение на ввоз конкретной партии шифровальных средств. Причем делает это поставщик, а не производитель. Такая схема вполне возможна и наш опыт показывает, что при правильном подходе к оформлению документов сложностей не возникает. Но это долго. И никаких гарантий положительного ответа со стороны ФСБ по-прежнему нет.

И вот, если верить WikiLeaks, компания Intel пошлатут) по 4-му пути - она поставила ультиматум Президенту России - или ситуация с ввозом оборудования Intel, содержащего шифрование, будет решена или Intel закрывает разработку в России, переводит ее в Индию или Китай. А это значит, что прощай инвестиции в Сколково, прощай рабочие места. По версии WikiLeaks была организована встреча Intel и ФСБ и вопрос "был решен".

Если все было так, как пишет WikiLeaks (а оснований не верить этому у меня лично нет), то получается достаточно интересная картина. Она наводит на размышления. Хотя вопросы по данному событию все равно возникают. В материалах WikiLeaks говорится о том, что речь шла о ввозе шифровальной техники "для себя". Но в этом вопросе ФСБ всегда шла навстречу западным вендорам и редко когда препятствовала ввозу оборудования. Не совсем понятно, зачем надо было выносить сугубо внутреннюю проблему на ТАКОЙ уровень. Либо речь идет действительно о массовых поставках аппаратуры Intel; и не для себя, а для всей России.

ЗЫ. Фраза представителя Телекомпаса в статье про предоставление регуляторам исходных ключей к ПО в рамках процесса нотификации не соответствует действительности. Ни нормам законодательства, ни здравому смыслу.

Аксаковский законопроект - 445 голосов "за"

Итак, вчера на заседании ГосДумы аксаковский законопроект о переносе сроков ст.25.3 ФЗ-152 получил 445 голосов "за".

7.12.10

Ужесточение контроля... во всех областях

Не в моих правилах делать кросс-посты, но этот не могу не запостить. Речь идет о заметке Алексея Волкова о планируемых изменениях в КоАП в части усиления роли контролирующих органов. Я уже писал о том, что в этой части планируются изменения, но этот аспект упустил. Речь идет о возможности приостановления деятельности организации по решению не суда, а сотрудника надзорного органа.

Читайте далее у Алексея...

Juniper покупает Altor Networks

6 декабря компания Juniper анонсировала покупку неизвестной в России калифорнийской компании Altor Networks, специализирующейся в области технологий безопасности виртуализации (МСЭ и IDS для виртуальных сред). Стоимость сделки - около 95 миллионов долларов. Сама Altor была основана совсем недавно - в 2007 году.

3.12.10

Аксаковский законопроект - зеленый свет?!

Я уже писал об инициативе депутата Аксакова  - он предложил перенести срок по приведению ИСПДн в соответствие с требованиями ФЗ-152 на один год. На сегодняшний день был запланирован финальный сбор всех замечаний и предложений. И что характерно, пока негативных отзывов нет ;-( Комитет по конституционному законодательству в целом не против этой инициативы, а комитет по информационной политике вообще заявил о поддержке законопроекта, сославшись на то, что предыдущий перенос делали исходя из того, что резниковский законопроект пройдет до середины этого года и у операторов будет время подготовиться. И не только резниковский законопроект, но и законопроект 2005-го года о внесении изменений в несколько десятков законопроектов, связанных с вступлением в силу 152-ФЗ. А раз ни то, ни то не приняли, то стоит опять перенести ст.25.3 на один год.

На 7-е дкабря назначено первое чтение...

2.12.10

Проект по ПДн: определите результат заранее

Вчера мы рассмотрели вопрос с определением цели проекта по приведению в соответствие с требованиями ФЗ-152. Но этого недостаточно для успешного завершения. Мало знать, ради чего мы все это затеваем; надо знать, что мы хотим получить на выходе. И тут тоже варианты могут быть совершенно различные. Причем, исходя из моего опыта, участия в разных проектах по ПДн, с начала запуска проекта многие результаты, которые надо получить, "не видны" или о них никто не задумывается.

Итак, что может быть результатом (и, как следствие, предметом договора с консультантом):
  • Рекомендации по приведению вас в соответствие с ФЗ-152. Данный результат включает в себя обследование организации, анализ процессов и используемых ПДн, и последующая разработка "куды бечь". Но "бечь" уже будет сама организация.
  • Набор шаблонов документов, демонстрируемых проверяемым. Несмотря на бесполезность данного результата, он нередок в проектах по ПДн. Хотя какой смысл платить за то, что можно скачать из Интернет бесплатно?
  • Набор документов под вас. Гораздо интереснее шаблоны переделать специально под конкретную организацию, с учетом ее специфики. Правда внедрять документы все равно приходится самостоятельно.
  • Внедрение рекомендаций
  • Обучение персонала. Один из любимых трюков проверяющих - остановить в организации первого встречного и спросить у него, знает ли он, что имеет доступ к ПДн и знает ли он, как надо защищить права субъектов? Обычно они не знают. И в акт проверки пишется большой и жирный минус. Мало разработать рекомендации и документы и внедрить их - надо еще и персонал обучить тому, что было сделано и что отвечать на вопросы регуляторов.
  • Прохождение проверки. И хотя ответственность за невыполнение ФЗ-152 всегда несет оператор ПДн (заказчик проекта) он может хотеть, чтобы консультант сопровождал его и во время проверок регуляторов. Нужно это для того, чтобы консультант по ходу проверки мог объяснять те или иные свои рекомендации.
  • Поддержка и обновление. Этот пункт тоже важен, но только для тех, кто реально заботится о своем соответствии законодательству о ПДн, но не имеет возможности отслеживать последние изменения в нормативной базе. Этот этап и нужен для этой решения этой задачи.

1.12.10

Проект по ПДн: определите цели

Многие компании сегодня задумываются о том, что надо бы что-то сделать в части выполнения требований ФЗ-152 и подзаконных актов. А кто-то задумался давно и даже пригласил консультантов для решения этой задачи, но результатом остался недоволен. Почему так произошло? И как не повторять такой ошибки? На мой взгляд ответ прост - оператор ПДн не удосужился определить цели проекта по приведению себя в соответствие с требованиями ФЗ. А ведь цели могут быть совершенно различные и в зависимости от них и результат будет разный и его оценка. Да и консультант (если он выполняет всю работу) тоже может иметь свой взгляд на то, чего от него ждут и какой результат должен быть на выходе.

Какие цели могут быть? Я попробовал выделить наиболее распространенные:
  • Пройти проверку со стороны регуляторов
  • Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
  • Снизить издержки
  • Привести себя в соответствие с требованиями ФЗ-152
  • Привести себя в соответствие с требованиями головной (зарубежной) организации
  • Генеральный директор приказал
  • А чтобы было! Потому что так надо! А другие ведь делают!

Можно заметить, что целеполагание для казалось бы одной задачи совершенное различное и заранее не определив его, устраивающего всех результата добиться нельзя.

30.11.10

Как проверить работу консультанта по ПДн?

Когда-то я уже поднимал вопрос о том, как выбрать консультанта по ПДн. На днях на bankir.ru подняли вопрос о том, как принять проделанную таким консультантом работу? На мой взгляд надо встать на место каждого из трех проверяющих (РКН, ФСТЭК и ФСБ) и по каждому пункту ФЗ-152, четырех постановлений Правительства, "Приказа трех", Приказа 58, двух документов ФСБ или СТО ответить на 6 вопросов:

  1. Вы выполняете этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО?
  2. Как вы докажете, что выполняете этот пункт?
  3. Что вы делаете для выполнения этого пункта?
  4. Как и где это регламентируется?
  5. Если вы не пополняете этот пункт, то почему?
  6. Кто отвечает за выполнение данного пункта?
Например, типичная проблема при проверке - уведомление РКН.
  1. Вы уведомили РКН? Да/нет?
  2. Ответ РКН о регистрации в реестре оператора ПДн или квитанция об отправке заказного письма в РКН.
  3. Копия уведомления в РКН и документация, которая легла в основу данных для уведомления.
  4. Данный пункт не регламентируется.
  5. Если вы не уведомили РКН, то каковы у вас были основания для этого? Вы попадаете в исключения, указанный в 22-й статье?
  6. Приказ о создании комиссии или назначении ответственного за решение вопросов приведения в соответствие ФЗ-152.

29.11.10

СТО Банка России опять меняют ;-)

В СТО Банка России до конца года планируют включить следующие документы (в статусе РС), которые сейчас в разработке:
  • положение о назначении и разделении ролей
  • положение о контроле и надзоре
  • положение об использовании СКЗИ (по аналогии с РС 2.3, сделанной по инициативе ФСТЭК)
  • положение по классификации активов.

26.11.10

Одобрен проект концепции инновационного развития отрасли телекоммуникаций и информационных технологий

19 ноября на заседании комиссии по федеральной связи и технологическим вопросам информатизации был представлен проект Концепции инновационного развития отрасли телекоммуникаций и информационных технологий. Мне довелось поучаствовать в разработке этого проекта и я могу тезисно набросать ключевые вопросы по ИБ, которые попали в Концепцию:
  1. Саморегулирование отрасли
  2. Повышение доверия пользователей к использованию ИКТ за счет защиты персональных данных онлайн, установки минимальных требований по защите к поставщикам услуг, устранение уязвимостей инфраструктуры, повышение осведомленности пользователей и обучением персонала.
  3. Защита интеллектуальной собственности
  4. Противодействие использованию ИКТ для противоправной (в основном террористической и экстримистской) деятельности
  5. Защита информации в информационно-телекоммуникационных сетях за счет единой системы идентификации и аутентификации, а также развитие судебной системы в части использования электронных доказательств
  6. Защита телекоммуникационной и информационной инфраструктуры за счет создания центров реагирования на инциденты, рост влияния России в вопросах управления Интернет и международного диалога
  7. Ориентация на международные стандарты
  8. Электронная цифровая подпись.
Правда, это не совсем то, что было в первоначальной версии проекта Концепции. Она была более детальная; особенно в части информационной безопасности, где были описаны и проблемы и пути их решения. В текущем виде, который был одобрен на комиссии, многие вещи исчезли ;-(

Посмотрим, что теперь с этой Концепцией будет и какие нормативные акты во ее  исполнение будут приниматься.

    25.11.10

    Об оценке соответствия средств защиты

    Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации - прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом Постановлении Правительства 330. В них прямо говорится, что средства защиты должны быть сертифицированы ФСБ или ФСТЭК. Косвенное упоминание есть в Постановлении Правительства № 424, в Приказе ФСТЭК № 58, в СТО Банка России (РС 2.3) и т.п. В них говорится о том, что системы защиты должны пройти оценку соответствия в установленном порядке.

    Согласно ФЗ-184 "О техническом регулировании" установлено 3 формы подтверждения соответствия - декларация соответствия, обязательная и добровольная сертификация. Декларировать нам не на что - техрегламента по ИБ так и не появилось. Остается два оставшихся варианта - добровольная и обязательная сертификация. С обязательной все ясно - она должна быть определена Правительством или Президентом (но не регулятором и поэтому приказ ФСТЭК № 199 "не у дел"). По обязательной сертификации средств защиты у нас несколько постановлений, как минимум, ПП-608 "О сертификации средств защиты информации". С ним вроде бы все ясно - оно четко говорит, что обязательной сертификации у нас подлежат только средства защиты гостайны. Все остальное носит добровольный характер. И вот тут начинается самое интересное.

    Оказывается системы сертификации Федеральной службы по техническому и экспортному контролю (регистрационный номер № РОСС RU.0001.01БИ00), Федеральной службы безопасности (регистрационный номер № РОСС RU.0001.030001), Министерства обороны Российской Федерации (регистрационный номер № РОСС RU.0001.01ГШ00) и у Службы Внешней Разведки (регистрационный номер № РОСС RU.0001.01СЗ00) являются системами добровольной сертификации средств защиты. Именно так они зарегистрированов в Ростехрегулировании, который в России и отвечает за регистрацию систем добровольной сертификации и регулировании вопросов обязательной оценки соответствия.

    Также к системам добровольной сертификации средств защиты информации относятся:
    • система добровольной сертификации ГАЗПРОМСЕРТ. Она создана ОАО «Газпром» приказом от 06 февраля 1999 г. № 10 (регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 г.). Ориентирована только на Газпром и его дочерние предприятия.
    • система добровольной сертификации «АйТиСертифика». Она создана ЕВРААС (регистрационный № РОСС RU.М089.04ИТ00). По информации создателей данной системы ее сертификаты признаются ФСТЭК России и Федеральной службой безопасности.
    • система добровольной сертификации Ecomex (регистрационный № РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года в связи с чем широкого распространения она пока не получила. Я вообще ее в Интернете, кроме сайта Ростехрегулирования, не нашел.

    Иными словами уйти от сертификации нам пока не удается (если это прямо не разрешено отраслевым регулятором, как, например, ЦБ в СТО разрешил для защиты АБС не использовать сертифицированные средства защиты). Вопрос в том, что сертификация средств защиты не должна быть обязательной, и не обязательно по линии ФСТЭК или ФСБ ;-) Вы можете провести ее, например, в "Газпромсерте" или в "АйТиСертифике". Законодательство дает вам такое право (как, собственно, и сама ФСТЭК своей формулировкой об "оценке соответствия в установленном порядке"). А системы сертификации, отличные от, например, ФСТЭКовской, должны быть выгоднее. Иначе они не смогут конкурировать с регуляторами.

    Вот такой расклад получается... на данный момент.

    24.11.10

    СоДИТ перевел ISO 15408:2009

    Союз ИТ-директоров России перевел первую часть новой версии стандарта оценки ИТ с точки зрения информационной безопасности - ISO/IEC 15408:2009. Это всем известные "Общие критерии", которые приняты в качестве ГОСТа и в России, но в своей предыдущей, второй версии. Нынешняя же версия - самая последняя. Пока переведена только первая часть, но остальные на подходе.

    Об этом переводе было объявлено на 3-м Форуме директоров по ИБ, прошедшем в конце октября в Москве Борисом Славиным, председателем правления СоДИТ. Несмотря на обещание выложить этот стандарт на сайте СоДИТ или на Global CIO, пока я там этого текста не увидел. Но я получил разрешение у Бориса выложить текст стандарта у себя в блоге, что и делаю.

    ISO IEC 15408-2009-1 by Russian

    23.11.10

    Регулирование криптографии - финальная версия карты

    Несмотря на почти полное отсутствие комментариев и конкретных предложений (исключая Ригеля), я довел документ до ума и финализировал его. Надеюсь будет полезным в работе.

    PS. Возможно я плохо искал, но я не нашел документов, регламентирующих сертификацию СКЗИ для защиты конфиденциальной информации. По гостайне есть приказ ФСБ о создании системы сертификации. А вот по конфиденциалке такого документа нет... Или я плохо искал?

    Russia Crypto Regulation

    22.11.10

    И вновь о выборе паролей

    Полтора года назад я уже обращался к теме выбора паролей и вот новый виток привел меня туда же ;-) Microsoft недавно опубликовал свое исследование, в котором предложил выбирать пароли не как захочется, а используя статистику уже выбранных пользователями паролей. Иными словами предлагается автоматически исключать популярные пароли, даже если они соответствуют требованиям сложности, часть реализованным в различных системах и приложениях.

    Другое интересное исследование изучает вопросы использования энтропии, как метрики для правильного выбора паролей. Идея этого исследования проста и понятна. Многие политики выбора паролей рекомендуют (требуют) использования в пароле не только букв, но цифр и специальных символов; букв в разных регистрах и т.д. Насколько это повышает защищенность пароля? Влияет ли длина пароля на его стойкость к взлому? Влияет ли на защищенность системы использование список запрещенных к использованию паролей? Именно ответу на эти вопросы и посвящено исследование сотрудников университета во Флориде, компаний Redjack и Cisco IronPort.

    19.11.10

    Измерение экономической эффективности ИБ

    В среду читал на InfoSecurity Russia доклад на тему изменения экономической эффективности ИБ. И хотя частично я эти слайды уже выкладывал, я решил их повторить, т.к. примерно половина слайдов там новая.



    ЗЫ. Аналогичную тему я поднимал на CiscoExpo, но там я экономику показывал применительно к оборудованию Cisco. Презентация (как и все остальные с CiscoExpo) выложены тут.

    18.11.10

    Законопроект о НПС внесен в ГосДуму

    Правительство в понедельник внесло в Госдуму законопроект "О национальной платежной системе" и "О внесении изменений в некоторые законодательные акты Российской Федерации, а также "О признании утратившими силу Федерального закона "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами" и некоторых положений законодательных актов Российской Федерации в связи с принятием Федерального закона "О национальной платежной системе". Что он принесет рынку ИБ? Т.к. он не сильно по "нашей" теме меняется последние полгода (да и в его обсуждении безопасники почти не принимают участие), то можно говорить, что он в таком виде и дойдет по подписания у Президента.

    Итак, что такое НПС? Согласно законопроекта - это "совокупность операторов по переводу денежных средств, включая операторов электронных денег, платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры, участников финансовых рынков, органов федерального казначейства и организаций федеральной почтовой связи при осуществлении ими деятельности, связанной с переводом денежных средств (субъекты национальной платежной системы)". Сразу хочу отметить, что в НПС входят не только банки, но и, например, почтовые отделения, операторы по переводу электронных денег (тот же Яндекс.Деньги или WebMoney), пенсионные фонды, профессиональные участники рынка ценных бумаг, а также любая другая организация или индивидуальный предприниматель, которая принимает от физлиц наличные деньги. Т.е. НПС - это масштабная система по количеству участников.

    "Наша" тема описана в трех статья - 18-ой, 19-ой и 20-ой. 18-я требует, чтобы все участники НПС, исключая субагентов, расчетные, клиринговые и операционные центры, соблюдали требования по обеспечению банковской тайны в соответствие с требованиями закона "О банках и банковской деятельности". При этом требования соблюдения БТ для указанных исключений даны во втором законопроекте (см.ниже).

    19-я статья (тот же номер у статьи по защите в ФЗ-152) говорит об обеспечении защиты информации платежной системы. Требования по защите устанавливает Правительство, а контроль и надзор за ними осуществляют ФСБ и ФСТЭК. Эти требования обязательны для всех субъектов НПС. Также для них обязательны требования (при переводе денежных средств), устанавливаемые ЦБ. Эти требования должны быть согласованы с ФСТЭК и ФСБ, а контроль за их исполнением ложится на ЦБ.

    Со стороны Правительства, ФСТЭК и ФСБ пока никаких требований по безопасности НПС не было (хотя слухи о том, что ФСТЭК разрабатывает документ по защите платежных систем ходят). А вот то, что сделает ЦБ примерно понятно (хотя и не финально). Требования по защите прописаны в СТО, который уже согласован с ФСТЭК и ФСБ (по проекту ПДн), и ЦБ врядли будет писать что-то новое. Хотя... мало ли что нас ждет в будущем.

    Дополнительно к ст.19, в ст.20 для операторов платежных систем устанавливается требование наличия системы управления рисками в соответствие с нормативными требованиями ЦБ (скорее всего речь пойдет о 76-Т, Базель II, 197-Т, 36-Т и т.п.).

    Интересно, что участники НПС могут подключаться к т.н. трансграничной платежной системе (Visa, AmEx, MasterCard и т.п.), но при выполнении последней ряда условий, в т.ч. и всех требований ФЗ об НПС. Это значит, что Visa должна будет соблюдать требования ФСТЭК и ФСБ по защите информации о денежных средствах. Интересно будет посмотреть, как будет реализовано данное требование.

    За невыполнение данных требований предусмотрено несколько видов наказания:
    • приостановление деятельности (для клиринговых и расчетных центров)
    • исключения из реестра операторов платежной системы (для оператора платежной системы)
    • административная ответственность
    Закон вступает в силу по истечение года с момента его опубликования.

    Второй закон о внесении изменений содержит много разных поправок в действующие законы, но по "нашей" части изменения касаются только ст.26 закона "О банках и банковской деятельности" (расширяя список лиц, обязанных соблюдать банковскую тайну) и в КоАП добавляется новая статья 15.26.1 "Нарушение законодательства о национальной платежной системе". Штраф до 200 тысяч рублей распространяется только на операторов платежных систем, операционные и клиринговые центры.

    ЗЫ. Достаточно интересно читать законопроект, в контексте работы Visa, MasterCard и т.п. платежных систем. Исходя из текста законопроекта они становятся участниками НПС, но... обязаны будут строить процессинг здесь, т.к. законом будет запрещена передача информации зарубеж по переводам денег (или доступ к процессингу из-за рубежа). Исключений только два - резервное хранение данных заграницей или передача данных только платежной карте и только в объеме суммы, валюты и PAN/CVV (ФИО и адрес клиента передавать запрещено).

    17.11.10

    Незамеченное изменение ФЗ-152

    Совершенно незамеченным прошло изменение в ФЗ-152, проведенное ст. 23 Федерального закона от 27.07.2010 N 227-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об организации предоставления государственных и муниципальных услуг" (спасибо коллегам на bankir.ru).

    Дословно ст.23 звучит так: " Внести в статью 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:

    1) в части 4:

    а) абзац первый изложить в следующей редакции:

    "4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:";

    б) дополнить пунктом 7 следующего содержания:

    "7) собственноручную подпись субъекта персональных данных.";

    2) дополнить частью 4.1 следующего содержания:

    "4.1 . Порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, определяется Правительством Российской Федерации.
    "

    Это изменение, кстати, в очередной раз показывает, что уполномоченный орган в лице РКН совершенно не в курсе про то, что письменное согласие может быть не только на бумаге. Да и ЭЦП рекомендуется, но не является единственным механизмом. Достаточно описать механизм АСП (аналог собственноручной подписи) и вы можете подписывать им сообщения электронной почты, получая тем самым письменное согласие... хотя оно и не нужно во многих случаях - можно обойтись устной или конклюдетной формой.

    16.11.10

    Изменение законодательства по контролю в области ПДн

    Правительство РФ внесло в ГД законопроект № 454517-5 "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля".

    В части ПДн предложена ст.53, в которой предлагаются следующие ключевые изменения:
    • четко указывается, что контроль и надзор осуществляется согласно ФЗ-294
    • предметом проверки является соблюдение только обязательных требований
    • плановая проверка может осуществляться только по одному основанию - истечение 3-х лет с государственной регистрации оператора или последней проверки
    • внеплановые проверки осуществляются только по истечению выданного предписания, а также поступления в РКН обращения субъектов о нарушении их прав в области обработки ПДн  или в результате наличия поручения Президента или Правительства
    • внеплановая проверка должна быть согласована с прокуратурой
    • срок проверки - не более 10-ти дней (раньше было 20)

    15.11.10

    Сравнение подходов к защите ПДн в России и в Европе

    Как-то я уже делился документом по описанию подходов к защите ПДн в Европе, любезно предоставленным компанией Яндекс. За это время я познакомился еще с двумя аналогичными работами - отдельным документом, сделанным в рамках НИР "Тритон", и результатами работы рабочей группы страховщиков, занимающейся выработкой собственных требований по защите прав субъектов ПДн. И вот новый обзор. Его готовили три известных эксперта в области ИБ и ПДн - Алексей Волков, Евгений Царев и Александр Токаренко. Мне этот обзор понравился больше всех. Не только с точки зрения исследования, но и с точки зрения русского языка ;-) Читать было интересно и полезно.

    Начало здесь..., комментарии одного из авторов здесь...

    ЗЫ. Кстати, материалы конференции РКН, о которой я писал, выложены на сайте мероприятия.

    12.11.10

    Регулирование криптографии в одном месте

    Задался я тут целью свести все нормативные акты, регулирующие криптографию в России (исключая гостайну), в одном документе. Что и сделал, разделив нормативные акты по этапу жизненного цикла системы криптографический защиты - от ввоза и разработки до эксплуатации и вывоза. Собственно результат перед вами.

    Посмотрите, пожалуйста, критическим взглядом на сей документ. Что в нем не хватает? Как его сделать лучше? Что в нем лишнее? Я внесу все изменения и выложу затем финальный вариант для открытого использования.

    Russia Crypto Regulation

    11.11.10

    Что нас ждет в ближайшее время с точки зрения регулирования темы ПДн?

    На основании презентации по будущему регулированию в области ИБ сваял презу, ориентированную только на тему персданных. Я ее читал в Челябинске и решил выложить еще и тут. Собственно там ничего нового почти нет - кроме чуть более детальной информации по законопроекту Резника и изменениям в ФЗ "О техническом регулировании".

    10.11.10

    Алгоритм приведения себя в соответствие с ФЗ-152

    В Челябинске читал презентацию по алгоритму приведения себя в соответствие с требованиями ФЗ-152. Выкладываю. В основе этого алгоритма лежит результат работы рабочей группы АРБ/ЦБ.

    9.11.10

    Новый совместный приказ ФСТЭК / ФСБ

    31 августа 2010 года был принят (зарегистрирован в Минюсте 13 октября, опубликован 22 октября в "Российской газете", вступил в действие с 2 ноября 2010 года) совместный приказ ФСБ и ФСТЭК № 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".

    Распространяется он на все федеральные государственные информационные системы, содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в Интернет (согласно Постановления Правительства от 24 ноября 2009 года № 953). Иными словами речь идет о сайтах госорганов.

    Данный приказ содержит требование обязательного использования антивирусов, межсетевых экранов и средств предотвращения вторжений, прошедших сертификацию в ФСБ (!).

    Интересна хронология событий по данному направление. Сначала был принять приказ ФСО от 7 августа 2009 года № 487, который требует в сегменте «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации использовать средства защиты (в т.ч. межсетевые экраны и системы предотвращения вторжений), сертифицированные ФСТЭК и ФСБ. При этом четкой регламентации (кто и что сертифицирует) указано не было.

    Двумя неделями позднее Минкомсвязь выпускает приказ от 25 августа 2009 года № 104, который требует применения сертифицированных в ФСБ средств предотвращения вторжений при их использовании в государственных информационных системах, содержащих сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательных для размещения в Интернет. При этом МСЭ должны иметь сертификат ФСТЭК.

    И вот новый приказ, который требует использовать для защиты сайтов госорганов средства, прошедшие сертификацию в системе ФСБ.

    Куда катится этот мир? Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ ;-( Наличие единой системы сертификации может быть и неплохо, если бы не сложности этой сертификации в ФСБ. Ни требований публичных нет, ни процедура нигде не описана... Полный вакуум...

    8.11.10

    Cisco запускает сертифицированное производство

    Очередное значимое для Cisco событие - запуск в России сертифицированного производства средств защиты на базе компании Kraftway. Несколько лет назад у нас уже был реализован такой проект и вот новый этап его развития. Учитывая возрастающую роль сертификации (все-таки изменения в ФЗ "О техрегулировани" пока не приняты и не реализованы на практике), такое событие не может не радовать ;-) Особенно государственные органы, для которых сертификация скорее всего останется и в будущем.

    3.11.10

    Отчет по мероприятию в Челябинске по ПДн

    Компания Аста-Информ пригласила меня на конференцию по персональным данным, где выступали также, из регуляторов, представители РКН, ФСТЭК и прокуратуры. Краткие тезисы по их выступлениям:
    • Роскомнадзор
      • Уведомление РКН обязательное. За отказ уведомления - ст.19.7 КоАП
      • Согласие только в письменной форме
      • Передача ПДн в коллекторские агентства - незаконно
      • Если ПДн передаются от оператора ПДн третьему лицу, то вся ответственность все равно лежит на операторе ПДн. Т.е. неявно, но институт обработчика все-таки РКН принимает.
    • ФСТЭК по УрФО
      •  Методические рекомендации ФСТЭК по УрФО будут перерабатываться с целью их актуализации
      • Операторам ПДн не надо лицензироваться, если не оказываются услуги по защите
      • На "тонких клиентах" антивирусы можно не использовать
    • Прокуратура
      • Основные нарушители ФЗ-152 - ЖКХ и ФМС
      • Задолженность в квитанциях ЖКХ характеризует имущественное положение субъекта ПДн (хотя скорее оно характеризует отсутствие имущественного положения)
      • Справки, которые ЖКХ выдают за деньги, незаконны (исходя из статьи 14 ФЗ-152)
      • Даже разглашение ПДн соседа по дому тоже является нарушением ФЗ-152 (хотя такие действия вообще к ФЗ-152 не имеют отношения)
      • Отказ ЖКХ в выдаче справок или выписок из лицевых счетов по причине задолженности незаконен (по ст.14).

    Единая терминология на уровне законодательства

    Упомянутый мной в июле законопроект №404643 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "Об информации, информационных технологиях и о защите информации" 6-го октября прошел первое чтение в Госдуме.

    2.11.10

    Россия все-таки отказывается от обязательной сертификации средств защиты

    В октябре была зафиксирована целая порция изменений законодательства. Началось все с предложения Самарской Губернской Думы внести изменения в закон о гостайне, устранив проверочные мероприятия (перед допуском) в ряде случаев. Продолжилось все очередным законопроектом Аксакова о сдвиге сроков ст.25.3 ФЗ-152.

    Но мне больше всего понравился проект "О внесении изменений в Федеральный закон "О техническом регулировании" (в части ускорения интеграционных процессов по сближению законодательств государств-членов таможенного союза в рамках ЕврАзЭС и Европейским союзом, снижения технических барьеров к продукции впервые выпущенной в обращение, создания национального органа по аккредитации)". В этом законопроекте введено несколько небольших, но очень интересных фрагментов. Например, одним из принципов техрегулирования в России является не только "свобода выбора заявителем документов, применяемых для подтверждения соответствия продукции требованиям технических регламентов", но и "обеспечения условий для взаимного признания в Российской Федерации и в иностранных государствах - торговых партнерах Российской Федерации результатов подтверждения соответствия и результатов исследований (испытаний) и измерений". А это значит, что недалек тот день, когда в России начнут признавать "Общие критерии" и, например, нам, компании Cisco, не придется заново сертифицировать уже сертифицированные продукты по тем же самым критериям, но только в российской системе сертификации ФСТЭК.

    Второй ключевой момент заключается в том, что исключается требование об обязательном подтверждении соответствия продукции, на которую не распространяется действие технических регламентов и которая не включена в единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответстви.Отмечу, что средства защиты информации (исключая гостайну) не включены в этот единый перечень и не подпадают под техрегламенты.

    1.11.10

    ФЗ-152 опять сдвигают?!

    Депутат Аксаков опять центре внимания - несмотря на критику Правительства и всех заинтересованных сторон, он предложил продлить мораторий на ст.25.3 ФЗ-152 - на срок до 1 января 2012 года. Мотивация простая - коммерческие организации не успевают и не имеют денег на выполнение требования ФСТЭК и ФСБ.

    29.10.10

    Выпущен PCI DSS 2.0

    Свершилось - 28-го октября были выпущены новые версии PCI DSS (2.0), PA DSS (2.0) и требования PTS. Действовать они начинают с 01.01.2011, однако аудит по предыдущей версии 1.2.1 будет разрешен до 31-го декабря 2011-го года.

    Вместе с выпуском новых стандартов обновился сайт PCI DSS, появился специальный сайт для компаний малого и среднего бизнеса.

    Все новые документы могут быть загружены по адресу: https://www.pcisecuritystandards.org/security_standards/documents.php.

    Кто бы это мог быть?

    27.10.10

    Размышление о конференциях по ИБ - 2

    3 года назад я уже поднимал эту тему, критикуя отечественных организаторов различных мероприятий по ИБ. Теперь пришел через критики в адрес выступающих (спикеров). Как ведущий первого дня 3-го межотраслевого съезда директоров по ИБ заметил ряд проблем, которые присутствуют почти у каждого выступающего и почти на каждой конференции (отчасти это проблема выступающих, отчасти - организаторов). Хочу поделиться этим списком и надеюсь он кому-то будет полезен - в конечном итоге умение выступать важно во многих сферах нашей деятельности. Почему я взял на себя смелость такой критики (я сам не идеален в области выступлений)? Хотя бы потому, что в России найдется очень мало людей, которые бы выступали бы столько же, сколько и я. Я как-то подсчитал, что в год у меня около 100-120 презентаций длительностью от 20 минут до 8 часов. Поэтому мне есть чем делиться ;-)

    Итак, по порядку:
    1. Основная проблема докладчика - эгоцентризм. Он почему-то считает, что он самый умный (иногда это так, но очень редко), а все остальные его слушающие - либо дети неразумные, либо журналисты, которым надо все разжежывать, либо просто посторонние в отрасли граждане. Но ведь это не так. Большинство присутствующих на профильных конференциях - специалисты с немалым опытом работы и разжевывать им прописные истины не надо.
    2. Вторая проблема, вытекающая из первой, - считать, что никого кроме докладчика больше на конференции нет. Поэтому большинство докладчиков львиную долю своего выступления тратят не на суть доклада, а на введение. В частности, на Съезде в секции про взгляд на ИБ с высоты птичьего полета, 4 из 6 докладчиков повторили почти одни и те же слайды (в разном оформлении) - о тенденциях и проблемах ИБ. Но это же не статья и не книга, где надо начинать с основы, а уж потом переходить к сути материала. на конференциях должен быть обычно застрельный доклад с рассказом об общих проблемах и тенденциах, а уж все последующие спикеры должны на него просто ссылаться, сразу переходя к основной идее своего выступления. Если уж такого застрельщика нет, то все равно первый докладчик и так расскажет о проблемах и тенденциях. Зачем же повторять его слова и отнимать время у себя и заставлять слушателей в 3-й, 4-й и даже 5-6-й разы выслушивать тоже самое?
    3. И вновь связанная с предыдущим пунктом проблема - теория и практика. Конференции директоров по ИБ, да и вообще специалистов по ИБ, не носящие откровенного научного характера подразумевают практически ориентированные доклады. Слушателям не нужна теория и общие разглагольствования на тему важности ИБ, методик оценки рисков и описания ФЗ-152. Это все и так можно подчерпнуть в Интернет или литературе (если уж хочется показать свое умение работать с источниками информации, то включите все в приложения к презентации). Людей интересует практика. То-то и то-то было сделано так-то и так-то. С проблемами столкнулись с такими-то. Решили их так-то. И т.п.
    4. Рекламы не надо. Я про это писал 3 года назад, но ситуация не изменяется к лучшему. Из всех докладов первого дня Съезда секция про птичий полет просто изобиловала рекламными докладами спонсоров ;-( Круче всех конечно выступил гендиректор SearchInform. Опустив всех, он говорил только о своем продукте, чем вызвал недовольство не только присутствовавших на заседании других вендоров DLP, но и самих потребителей. Пора уже давно понять, что за свои деньги (а он платит свои деньги) слушатель не хочет в отданное конференции время получать голимую рекламу. Он ее может получить в своем офисе, развалясь в кресле, попивая кофе и раскуривая сигару. Любой вендор прибежит и расскажет о своем продукте. Бесплатно. Или воспользуется другими технологиями (например, Webex) продвижения. А вот на конференциях надо рассказывать то, что интересно потребителю, а не рекламодателю.
    5. Отсюда вытекает непонимание аудитории, которой читается презентация. Одно дело на конференции по ИБ банков говорить о СТО, как о понятной для всех аббревиатуре и совсем другое дело упоминать на конференции для всех про стандарт X.1051, считая, что все знают, что это такое (а это известно очень небольшому количеству специалистов по ИБ из отрасли связи).
    6. Теперь перейдем к технике. Почти все докладчики не соблюдают регламент (за исключением некоторых представителей западных компаний, где поставлен процесс обучения презентационным навыкам). Когда докладчика заранее предупреждают, что ему выделено 10 минут на презентацию и 2 минуты на вопросы, это значит, что так и есть. И больше ему времени не положено, т.к. после него есть еще выступающие. Как минимум, несоблюдение регламента - это неуважение к последующим спикерам. Как максимум, неуважение к слушателям, которые надеятся не сидеть лишнее время, а вовремя уйти на перерыв или завершить конференцию. Иногда проблему можно решить правильным модерированием секций, но далеко не всегда.
    7. Отсюда вытекает неумение подстраиваться под изменение регламента. Если предыдущий докладчик съел почти все ваше время, то не надо, несмотря ни на что, продолжать читать свой доклад как будто ничего не случилось. Как показывает мой опыт, действительно интересных докладов, которые люди готовы слушать в ущерб обеду или перерыву на кофе очень мало. А значит неумение подстраиваться под динамически изменяемый регламент играет плохую шутку с выступающим. Люди, умеющие ценить свое время (а это как раз руководители, принимающие решения), ценят это качестве и в других.
    8. Отсюда же вытекает незнание презентационных основ. В большинстве учебников и курсов по данной теме сказано - скорость чтения презентации обычно равна 1-му слайду за 1-2 минуты (обычно 2, но бывает и за одну). Если вам выделено 10 минут на презентацию, то не надо думать, что вам удастся 26 слайдов рассказать за это время. В большинстве случаев это не получается. Только у опытных спикеров скорость может быть больше. Например, у меня есть опыт чтения 180 слайдов за 1 час. Но тут надо понимать, что при такой скорости может страдать как качество доклада, так и снижается уровень восприятия со стороны слушателей.
    9. С этой проблемой связана и другая - правильная речевая подготовка. Выступление - это не только поставленный голос, но и живость, темп, ритм рассказа. Если мямлить, то даже очень интересный доклад не запомнится. А если говорить громко и уверенно, то даже полная фигня может быть воспринята благосклонно. Говорите громче, а то многие даже в микрофон умудряются говорить так, что ничего не слышно уже на первом ряду. Но и ставить это во главу угла, конечно, не стоит. Вот для меня - выступления - один из видов моей работы. Мне надо уметь говорить громко и иногда это пригождается (например, когда в зале на 300-400 человек вдруг пропадает звук у микрофона). Но для большинства громкость - это вторично, а вот уверенность и ритм - первичны. Кстати, часто присутствующая монотонность и академичность докладов людей только усыпляет (иногда это полезно).
    10. Теперь о слайдах. Как говорит современная молодежь - "многа букафф". Это проблема и очень серьезная. Очень многие докладчики либо боясь забыть что говорить, либо просто пытаясь показать кропотливый труд над презентацией, вставляют на слайды по 10-30 строк текста. Такие слайды читать невозможно. Их и оценить-то не успеваешь. В итоге качество доклада резко падает. Снижается оно и тогда, когда в презентации отсутствуют средства визуализации материала - графики, диаграммы, схемы, скриншоты. Главное не переусердствовать, а то бывает такая аляпистость в презентациях, что кажется, что лучше бы вообще без картинок... которые надерганы из Интернет (в нарушении прав на интеллектуальную собственность), вставлены на слайд беспорядочно, у картинок отсутствует единая стилистика и цветовая гамма, ну и т.д. Этакий зоопарк ;-(
    11. Ну и последнее, что хотелось бы отметить. Никогда не зачитывайте текст на презентациях. Слушатель - не первоклассник и читать умеет сам. Лучше прокомментируйте то, что написано на слайде. Это позволит вам дать вдвое больше материала за тоже время. Если вы будете просто читать текст, то через 2-3 слайда слушатели начнут отвлекаться от вашего доклада и начнут заниматься своими делами. Оно вам надо?

    Вот вкратце все, что наболело после Съезда директоров по ИБ в Хилтоне. Читатлеям не стоит воспринимать  все это на свой счет - просто модерирование первого дня позволило аккумулировать мой опыт презентаций и посмотреть на другие презентации со стороны. Возможно кому-то это будет полезно. Хотя, безусловно, нормального курса (а то и не одного) по искусству выступлений (presentation skills) эта заметка не заменит.

    26.10.10

    3-й съезд директоров ИБ - краткие впечатления от первого дня

    Первый день 3-го съезда директоров ИБ завершился. Программа была насыщенная и интересная, а т.к. я еще был и модераторов всего дня (работка, я вам скажу, адская), то прослушал все презентации и доклады.

    Не претендуя на всеобъемлющий пересказ всего того, что было хочу тезисно отразить наиболее понравившиеся мне моменты:
    1. Все берут направление на стандартизацию. Банк России, операторы связи, игроки фондового рынка (НАУФОР готовит свой стандарт по ПДн) и т.д. СоДИТ и вовсе решил поднять знамя стандартизации ИБ/ИТ и взялся за перевод 250 необходимых ИТ/ИБ-директору стандартов. Первым, в области ИБ, стал стандарт ISO 15408:2009 (часть 1-я). Это пресловутые "Общие критерии", но не действующая в России 2-я версия, а самая последняя, третья версия критериев оценки соответствия ИТ требованиям ИБ. В ближайшие дни электронная версия стандарта будет доступна либо на сайте СоДИТ, либо на сайте съезда (там же будут доступны в среду вечером и все презентации).
    2. Елена Константиновна Волчинская (ведущий советник аппарата комитета ГосДумы по безопасности) рассказала о ключевых изменениях в 4-х ФЗ - "О персданных", "Об ЭЦП", "О лицензировании отдельных видов деятельности" и "О госуслугах". Наиболее интересен был второй законопроект - ряд здравых идей и предложений был высказан. Как минимум, есть желание разделить единую лицензию на все 4 вида деятельности в области шифрования на 2 вида - разработку выделить отдельно.
    3. Андрей Владимирович Федосенко (ведущий советник аппарата комитета ГосДумы по конституционному законодательству и государственному строительству) рассказал о планах по изменению законодательства в области персданных. По сути он прошелся по законопроекту Резника и прокомментировал отдельные его положения с точки зрения отношения к ним Правительства и ряда других заинтересованных лиц. Если будет выполнено хотя бы половина из того, что было сказано, то жить станет легче. Что же каается второго чтения, то оно будет все-таки в этом году, а сам законопроект постараются принять также в этом году.
    4. Была интересная секция про взгляд с высоты птичьего полета, но ни о каком полете речи не было. Были интересные доклады Сергея Голяка (ММК) и Александра Кириллова (СеверьСталь) о реальном и практическом опыте обеспечения ИБ в холдинговых структурах. Коротко и по делу.
    5. Как всегда, выступление Льва Матвеева из SearchInform можно было охарактеризовать следующими тезисами - "Все козлы, а мы самые крутые", "Мы делаем то, что другие никогда не сделают, потому что у нас есть крутой патент", "Мы решим все ваши проблемы с безопасностью, поиском, репутацией, лояльностью, экономическими преступлениями и вообще все", "Время на внедрение нашего крутого продукта всего 8 часов" и "Заказчиков не назову, потому что это секретная информация, но мы все равно самые крутые". Такой безаппеляционный подход, разумеется, вызвал реакцию со стороны аудитории, которая попыталась поспорить с г-ном Матвеевым. Я пресек начинающуюся склоку ;-)
    6. В предпоследней интерактивной сессии была дискуссия на тему ПДн. Рассказ банков, химпромышленности и операторов связи был интересен, но наибольшее внимание было приковано к 2-м представителям 8-го Центра ФСБ, которые поделились своим взглядом на проблематику шифрования в контексте ПДн. Во-первых, сейчас готовится проект нового приказа ФСБ, который систематизирует все текущие наработки службы в области защиты ПДн. Во-вторых, будет уточнен перечень случаев, когда лицензия ФСБ не нужна. Например, на выполнение действий, указанных в эксплуатационной документации. Или на распространение СКЗИ клиентам для организации взаимодействия (например, ДБО у банков). В-третьих, рассматривается вопрос разрешения использования несертифицированных СКЗИ там, где нет и не будет в ближайшее время российских аналогов. В-четвертых, банки, подключившиеся к СТО, в 2011-м году проверять по линии ФСБ не будут. Такова договоренность ЦБ и ФСБ (представителей РКН и ФСТЭК на мероприятии не было).
    7. Последняя секция была посвящена работе западных компаний в России и как они решают вопрос выполнения корпоративных и локальных требований по ИБ. Надо заметить, что общего взгляда здесь не нашлось. Судя по ответам, каждая международная компания по разному смотрит на локальные требования ИБ. Кто-то на них откровенно забивает, т.к. выполнить "этот бред" невозможно. Кто-то пытается найти компромисс. Кто-то пытается выполнить в полном объеме. Но универсального рецепта так и не было найдено (хотя его, наверное, и нет).

    Вот на этом официальная часть мероприятия закончилась и мы плавно переместились на теплоход, курсировавший по Москва-реке. Общение, но уже неформальное, продолжилось там ;-)

    25.10.10

    И вновь о Роскомнадзоре и его мнении - 3

    Коллега из Новосибирска прислал краткий обзор мероприятия по ПДн, которое прошло на позапрошлой неделе в Новосибирске. Краткие комментарии и высказывания регуляторов:
    1. Если страна ратифицировала Конвенцию, то РКН считает, что страна с адекватной защитой прав субъектов.
    2. Упоминался ГОСТ 19794 "Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными" по биометрической идентификации человека. Если изображение соответствует требования этого ГОСТа, то фото и видео - биометрия. Если не соответствуют - то не биометрия.
    3. Рассмотрение Резниковского законопроекта перенесли на весну (буду проверять эту информацию).
    4. Говорили об планируемом увеличии штрафов и изменении статьи 13.11. Правда планируется это с конца прошлого года и все никак. Есть мнение, что увеличения штрафов не будет, т.к. сразу увеличится корруационная емкость этой статьи.
    5. Представитель ФСТЭК заявил, что почти все существующие ИСПДн - типовые. Судя по формулировкам, он оперировал только "приказом трех" и совершенно был не в курсе ни мнения центрального аппарата ФСТЭК, ни мнения других региональных управлений ФСТЭК, которые считают, что почти все существующие ИСПДн - специальные.
    6. Средства защиты могут быть только сертифицированными. Основание - неопубликованное и поэтому необязательное к применению ПП-330. В четверг, на конференции в Барнауле, один из лицензиатов ФСТЭК рассказал, что сибирская ФСТЭК ПП-330 раздает по запросам и без ограничений. Но видимо лицензиатам, все-таки, т.к. нам на такой запрос отказали, ссылаясь на то, что мы не лицензиаты. Хотя вот северо-западная ФСТЭК это постановление не дает даже лицензиатам. В-общем, все как всегда.
    7. Настройка, использование и обновление антивируса требует по мнению представителя ФСТЭК наличия лицензии на ТЗКИ (!).
    Вот такие дела ;-)

    22.10.10

    О форме согласия на обработку ПДн

    Напомню, что у РКН есть мнение, что согласие субъекта ПДн на обработку его ПДн может быть только в письменной и никакой иной форме. Алексей Волков запросил РКН по этому вопросу и получил официальный ответ (приведен в блоге). Я также провел ряд консультаций и их результат примерно следующий: ответ РКН правильный, но только потому, что соответствует вопросу ;-)

    Алексей ссылался в запросе на статьи ГК, регулирующие договорные отношения. РКН и ответил в том ключе, что договор - это договор, но обработка ПДн может вестись и без договора и поэтому может понадобиться письменное согласие. Универсальных же рецептов здесь нет - по каждому сценарию обработки надо смотреть, что и как там обрабатывается и нужно или нет письменное согласие.

    А вообще один ответ РКН ничего не значит ;-) Два региональных управления могут иметь разные точки зрения на один и тот же вопрос. А если сюда добавить еще потенциальное мнение центрального РКН, то картины вырисовывается и вовсе сюрреалистичная ;-)

    21.10.10

    О моделях угроз для виртуализации и облачных вычислений

    Наткнулся недавно в каком-то интервью на высказывание о том, что для технологий виртуализации и облачных вычислений сегодня нет ни средств защиты ни общепризнанных и устоявшихся моделей угроз. Надо сразу заметить, что общепринятых и устоявшихся моделей угроз вообще нет, ни в какой области - каждый по своему понимает и этот термин и его наполнение. Есть методики моделирования угроз, но и тут об общепринятых подходах говорить тоже не приходится.

    Но вернемся к виртуализации и облачным вычислениям. Действительно ли нет для них опубликованных моделей угроз? Оказывается все нет плачевно. Если не брать различные статьи по безопасности виртуализации (например, тут), то есть неплохой документ от NIST - "Guide to Security for Full Virtualization Technologies" (SP 800-125). Пока это проект (документ опубликован в июле 2010 года), но он очень неплохо описывает (без привязки к вендорам) и саму технологию виртуализации, и ее проблемы с безопасностью, и рекомендации по защите. Тем, кто сейчас разрабатывает требования/рекомендации по защите виртуализации (а такие шаги сейчас предпринимают даже регуляторы), я бы рекомендовал отталкиваться именно от этого документа.

    С моделью угроз для облачных вычислений все обстоит еще проще - образованный в 2009-м году Cloud Security Alliance (Cisco является его членом) опубликовал 1-го марта 2010 года первую версию модели угроз для облачных вычислений. В конце этого года планируется опубликовать вторую версию этого документа. На сайте альянса много и другой полезной информации по информационной безопасности для участников облачных вычислений.

    20.10.10

    Мифы ИБ... онлайн-проект закончен

    Итак, совместный проект по написанию книги "Мифы и заблуждения информационной безопасности" меня и портала bankir.ru закончен. Я сдал последние мифы и они скоро будут опубликованы на сайте. Ну что сказать?.. Проект был непростой. Имея в багаже опыт написания 4-х книг, я думал, что и пятую осилю без проблем. Оказалось не так. Онлайн-публикация по частям - сильно отличается от подготовки оффлайн-издания. И размер отдельных разделов должен быть не меньше определенного порогового значения (мне пришлось много мифов "зарезать" по этой причине). И сроки публикации надо выдерживать (я так и не смог). И Web-функциональностью надо активно пользоваться (ссылки, анимация и т.п.). И аудиторию надо четко выбирать (у меня получилось и для пользователей и для специалистов). Но опыт был безусловно полезный.

    Возможно на основе онлайн-книги будет выпущена оффлайн-версия. Но обновленная и расширенная. По крайней мере желающие ее издать есть.

    ЗЫ. Ну и конечно уже есть идеи публикации других книг ;-) Времени бы хватило.

    18.10.10

    Чего не хватает эффективному DLP-решению?

    Презентация с DLP Russia 2010 в прошлый четверг.

    12.10.10

    Как полезно иногда читать "старые" законы - 2 или почему можно не использовать сертифицированные средства защиты?

    Продолжаю тему, начатую в четверг... Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что:
    1. Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми актами какие-либо преимущества применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
    2. Ст.6.3 ФЗ-149 говорит, что только обладатель информации, если иное не предусмотрено федеральными законами, определяет порядок и условия доступа к информации.
    3. Ст.16.5 ФЗ-149 говорит, что ФСБ и ФСТЭК устанавливают требования по защите информации для государственных информационных систем. Про обязательность требований ФСБ и ФСТЭК для негосударевых ИС в законе ни слова.
    4. Ст.49.2 ГК РФ говорит о том, что "юридическое лицо может быть ограничено в правах лишь в случаях и в порядке, предусмотренных законом".

    И, наконец, смотрим на ст.16.6 ФЗ-149, которая гласит что "федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации".

    К какому выводу мы приходим? Правильно. Применение средств защиты (сертифицированных или несертифицированных) находится полностью в ведении обладателя информации, т.е. "лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам".

    Но у нас же есть Приказ 199 ФСТЭК, документы ФСБ и даже неуловимое Постановление Правительства 330?.. Безусловно есть. Только вот вышеприведенные ФЗ-149 и ГК РФ четко говорят, что любое ограничение (а использование сертифицированных СЗИ - это именно ограничение) должно быть указано в федеральном законе и никак иначе. А даже Постановление Правительства имеет меньшую юридическую силу, чем закон.

      11.10.10

      Что нас ждет в ближайшее время с точки зрения регулирования ИБ?

      В среду я разместил свою первую презентацию с ИнфобезЭкспо 2010 и вот пришел черед для второй, прочтенной в четверг. Саму презентацию я показать не смог по техническим причинам (на компе организаторов не было office 2007/2010, а я поленился сделать версию для Office 2003). Поэтому рассказывал без слайдов, а многие заинтересовались названиями и ссылками на упоминаемые документы. Поэтому выкладываю презентацию тут. Частично я ее уже выкладывал ранее, но сейчас я систематизировал информацию и актуализировал ее исходя из самых последних изменений.

      8.10.10

      Как получить меч за туманный рассказ?..

      В четверг, на конкурсе "Львы и гладиаторы" на ИнфобезЭкспо 2010, в компании достойных  коллег, в непростой борьбе с перевесом в 5 голосов удалось у "Кода безопасности" вырвать победу и заполучить гладиаторский меч за презентацию сервиса облачной безопасности Web-доступа Cisco ScanSafe.



      Некоторые коллеги, не имея возможности попасть в зал и услышать рассказ о ScanSafe, попросили выложить презентацию о данном сервисе, что я и делаю.

      7.10.10

      Как полезно иногда читать "старые" законы или что такое общедоступные ПДн

      Перечитывал на днях трехглавый ФЗ-149 и наткнулся на определение, которое сильно помогает операторам персональных данных. Речь идет о понятии "общедоступная информация". Очень часто во время приведения себя в соответствие с ФЗ-152 возникает вопрос о том, как оптимизировать свои усилия. Одним из сценариев является перевод обрабатываемых ПДн в разряд общедоступных, что позволяет не обеспечивать для них конфиденциальность и даже не заниматься их защитой. Если читать только ФЗ-152, то для перевода ПДн в разряд общедоступных необходимо получить письменное согласие субъекта, а это непросто. И соотношение выгод и затрат на смену статуса уже не так очевидно.

      Ждать законопроекта Минкомсвязи долго. Но если обратиться к ст.7 ФЗ-149, то мы увидим, что "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Вот и получается, что, например, мой мобильный телефон, должность или e-mail относятся к общедоступным ПДн на том основании, что это информация доступна не только в Интернет, но и на визитках, которые я сам и раздаю всем желающим.