31.1.12

Новая статья КоАП по теме персданных

В Госдуму внесен законопроект 12389-6 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", которым предусматривается установление административной ответственности в виде наложения штрафа для граждан, должностных и юридических лиц за нарушение законодательства в сфере оказания услуг подвижной связи.

В пояснительной записке приводится такое обоснование необходимости внесения поправок: "На сегодняшний день в России число абонентов сотовой связи (по числу SIM-карт) составило 225,1 миллиона. При этом образовался самостоятельный рынок – рынок услуг коммерческих представителей, оказывающих посреднические услуги в заключении договоров оказания услуг подвижной связи. Этот рынок представлен около 10 федеральными компаниями, имеющими развитую сеть на территории России и более 900 региональными компаниями. При этом со стороны коммерческих представителей нередко имеют место злоупотребления, выражающиеся в:
  • оказании услуг связи без заключенного с абонентом договора в письменном виде,
  • наличии недостоверных данных об абоненте в договоре (фальсификация абонентских данных),
  • отсутствии (неполноте) данных об абоненте либо иной существенной информации в договоре,
  • заключении договора от имени оператора связи ненадлежащим лицом (в отсутствие полномочий)".

Введение в Кодекс Российской Федерации об административных правонарушениях новой статьи 13.111 позволит создать правовую основу для привлечения недобросовестных агентов операторов связи и продавцов индивидуальных модулей к ответственности и сократить риски мошенничества, связанного с оформлением индивидуальных модулей с использованием фальсифицированных паспортных данных для заключения договоров на оказание услуг сотовой связи и предотвращением причинения абоненту ущерба со стороны третьих лиц.

Однако сама статья звучит как: "Статья 13.111. Предоставление недостоверной информации о гражданах (персональных данных) оператору персональных данных
Предоставление недостоверной информации о гражданах (персональных данных) оператору персональных данных уполномоченным лицом, заключающим от имени оператора персональных данных договор, в случае если законодательством Российской Федерации предусмотрено предоставление такой информации о гражданах (персональных данных), –
влечет наложение административного штрафа на граждан в размере от двух тысяч до пяти тысяч рублей; на должностных лиц – от пяти тысячи до пятидесяти тысяч рублей; на юридических лиц – от десяти тысяч до трехсот тысяч рублей", т.е. может быть применена к любому оператору ПДн, а не только к операторам связи.

ЗЫ. В прессе также написано про увеличение штрафа по ст.13.11 за нарушение правил обработки ПДн, но ни на сайте Минкомсвязи, ни на сайте Правительства или Минэкономразвития я этого законопроекта не нашел.

30.1.12

Защита НПС по версии ФСТЭК

27 января на сайте ФСТЭК размещен проект Постановления Правительства "Об утверждении Положения о защите информации в национальной платежной системе". Документ получился достаточно высокоуровневый и серьезных ляпов в нем нет. Основная его цель - установить общие подзоды, которые будут раскрываться в нормативных документах Банка России, которые сейчас также готовятся. Каксаясь документов ЦБ хочется сразу отметить, что построены они будут на базе принципов СТО БР ИББС. Так что от СТО все равно не уйти тем, кто до сих пор не принял решение о принятии СТО.

Наибольший интерес представляет 6-й пункт, перечисляющий требования по защите информации, которые должны быть реализованы в НПС. Из наиболее интересных там прописаны (остальные типичны и уже хорошо известны):
  • требования к управлению рисками нарушения требований к защите информации в платежной системе, определению методик анализа рисков и проведению анализа рисков нарушения требований к защите информации
  • требования к информированию участников платежной системы об инцидентах, связанных с нарушениями требований к защите информации
Среди применяемых средств защиты должны быть как минимум шифровальные средства защиты информации, средства межсетевого экранирования, антивирусной защиты, обнаружения вторжений и анализа защищенности (от сканеров безопасности теперь никуда не деться).

Не все удалось включить в проект данного постановления, но ключевые моменты там учтены. Что хорошо, нет жесткого требования оценки соответствия применяемых средств защиты, ни слова об аттестации и лицензировании (лицензия нужна только от тех, кого участник НПС привлекает для защиты информации).



Что мне нравится в Банке России, так это их реально регулирующая роль в области ИБ. Была неразбериха с СТО и требованиями ФСТЭК/ФСБ по персданным - появилось "письмо шести". Пусть и статус у него не такой высокий, но хоть какое-то джентльменское соглашение. У тех же операторов связи и документы по персданным есть (причем они местами даже интереснее будут), но Минкомсвязи не сделало ничего, чтобы признать эти документы и согласовать письмо, аналогичное "письму шести". Теперь операторы связи вынуждены самостоятельно решать все проблемы с персданными, кто во что горазд. И вот теперь ЦБ регулирует тему защиты информации в НПС. ФСТЭК выпустила общие требования, а ЦБ будет их детализировать, опять же, базируясь на своем СТО. И ФСТЭК молодцы - не стали гнуть свою линию, а оставили разработку детальных требований отраслевому регулятору, который понимает в специфику платежных систем. Наверное таки должно быть. Если уж мы вынуждены жить с главенствующей ролью ФСТЭК и ФСБ в области ИБ, то такой их симбиоз с отраслевыми регуляторами можно только приветствовать.

27.1.12

Twitter покупает Dasient

23 января Twitter объявил о приобретение небольшого стартапа из Калифорнии - компании Dasient, которая занимается борьбой с вредоносным кодом с помощью облачных технологий. Детали сделки не разглашаются.

Видеонаблюдение в офисах НЕЗАКОННО!

На Гаранте опубликован интересный юридический комментарий на типовой вопрос: "Правомерно ли использование видеонаблюдения для контроля за поведением работников? Следует ли уведомлять работников о том, что ведется видеонаблюдение? Если да, то каков порядок данного уведомления?"

Я на курсах по персданным всегда говорил, что без уведомления сотрудников тут никак не обойтись. А тут и ответ юристов подоспел. Собственно для меня там ничего нового нет, за исключением ссылки на ст.209 Трудового Кодекса, которая говорит о том, что работодатель обязан обеспечить работнику условия труда, под которыми понимается совокупность факторов производственной среды и трудового процесса, оказывающих влияние на работоспособность и здоровье работника. И вот тут юристы Гаранта считают, что "постоянный видеоконтроль за работником может вызывать у него чувство дискомфорта, стресс, и, как следствие, повлиять на здоровье и работоспособность". Ну а дальше говорится о том, что надо получать согласие работника и т.д.

Ссылка на ст.209 интерсна тем, что ее можно применить к любому контролю за сотрудниками в компании, включая контроль электронной почты, посещение Интернет-сайтов, запись телефонных переговоров и т.п. И вот тут открываются очень интересные следствия; особенно для работодателей.

26.1.12

Об отмене наказания за отсутствие лицензий ФСТЭК

После сегодняшнего поста коллеги стали утверждать, что отмена частей 1 и 5 ст.13.13 не меняет ситуации и даже ухудшает ее, т.к. будут применять статью 14.1 "Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)". Так ли это?

Давайте вспомним, что согласно ст.2 ГК РФ "предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке". Уже одно это говорит о том, что ст.14.1 применяется только к тем, кто зарабатывает на безопасности, т.е. лицензиаты ФСТЭК и ФСБ, продающие средства защиты или предлагающие услуги в области защиты информации.

К подавляющему большинству тех организаций (99%), на которых распространялась статья 13.13, статья 14.1 отношения уже не имеет. Иными словами мы возвращаемся к состоянию дел, которое было до принятия 504-го Постановления Правительства, когда лицензировалась именно деятельность разработчиков и интеграторов, получающих прибыль от защиты информации. И это правильно. Нечего пытаться заставить лицензироваться 5 с лишним миллионов юридических лиц и индивидуальных предпринимателей, которые виноваты лишь в том, что обрабатывают персональные данные своих сотрудников или клиентов.

Кстати, ФСТЭК также стала отступать от своей позиции в данном вопросе, несмотря на то, что ее представители регулярно заявляли о необходимости получения лицензии на ТЗКИ любому оператору ПДн. Все это было частное мнение представителей ФСТЭК. На прямой вопрос начальнику 2-го Управления ФСТЭК г-ну Куцу его ответ выглядит так:


Обратите внимание на последнее предложение - "наличие указанной лицензии у оператора обязательным требованием не является". Можно только приветствовать такую позицию регулятора, который наконец-то повернулся лицом к хозяйствующим субъектам и снял неопределенность в в таком непростом вопросе.

За отсутствие лицензий ФСТЭК и ФСБ больше не накажут!

Готовится сейчас новый проект федерального закона "О внесении изменений в некоторые законодательные акты Российской Федерации по вопросам лицензирования отдельных видов деятельности", согласно которому отменяются части первая и пятуя статьи 13.12 КоАП, которые у нас гласят:
  • часть 1-я - Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
  • часть 5-я - Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
Отменяется также часть 1 статьи 13.13, касающуюся занятиями видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна). 2-я часть про лицензирование гостайны остается неизменной.

Изменения также коснулись:
  • Статьи 14.1. Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)
  • Статьи 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии).
О чем говорят данные изменения? Как говорится в пояснительной записке к этому законопроекту проектом закона "предусматривается внесение в 28 законодательных актов Российской Федерации, содержащих положения о лицензировании отдельных видов деятельности, изменений касающихся исключения норм, дублирующих положения Закона № 99-ФЗ, исключения требований о лицензировании видов деятельности, лицензирование которых не предусмотрено Законом № 99-ФЗ, а также норм, противоречащих положениям Закона № 99-ФЗ". Иными словами законодатели признали то, что дисскутируется достаточно давно. А именно - лицензии на ТЗКИ и деятельность в области шифрования не нужна. Осталось только дождаться принятия этого законопроекта...

25.1.12

Реформа европейского законодательства по персданным

Сегодня в Европе произошла революция в области персональных данных. Основная идея реформы - учесть изменения, которые произошли в цифровой экономике с момента принятия последних документов в этой области еще в 1995-м году, а также снизить обременения на операторов ПДн. Например, теперь для операторов отменяется уведомления уполномоченного органа (оценка экономии только от одной этой меры - 2.3 млрд. евро в год). Снижаются требования по уведомлению о принятых мерах по защите ПДн, что также позволит сэкономить не менее 130 миллионов евро. Зато возрастает ответственность операторов ПДн - в случае нанесения ущерба субъектам ПДн штраф может составить до 1 миллиона евро или до 2% от годового оборота нарушителя. При этом санкции последовательны и пропорциональны - за первое нарушение грозит прежупреждение от уполномоченного органа. Затем идут штрафы от 250 тысяч евро или 0,5% от оборота за мелкие прегрешения.

Новые правила учитывают облачные вычисления, социальные сети, сервисы определения местоположения и многие другие онлайн-сервисы, которых в 90-х не было. При этом правила по защите персданных теперь едины для всех стран Евросоюза - никаких разночтений и разброда. Наконец-то четко зафиксировано требование как можно быстрее уведомлять уполномоченные органы о серьезных утечках ПДн (желательно в течение 24 часов).

Вообще сейчас сложно целиком оценивать сегодняшние изменения - их много. Это полностью переписанное законодательство Европы в области персональных данных, а не просто какой-то новый документ. Новая директива, вступившая в силу. Новые требования...

Как будут развиваться события покажет время, но сейчас можно сказать одно - Европа сделала большой шаг вперед в сторону усиления контроля за темой персданных. Несмотря на ужесточение ответственности, обременения на операторов снизились, а требование стали более адекватными в части Интернет-деятельности. Операторов ПДн не нагибают, как в России, делать лишние телодвижения и тратить миллионы на бесполезную и никому ненужную работу. Но уж если произошел инцидент, то будь добр уведомить об этом заинтересованные стороны, которые могут и штраф наложить немаленький. В итоге мы приходим к правильной формуле "займись защитой прав субъектов ПДн сам, потому что в противном случае наказание может быть очень значительным". У нас же Роскомнадзор действуют по иной формуле "наказать мы тебя не накажем, но выполнять требования законы ты обязан потому что нам так хочется". В России регуляторам в общем-то наплевать на интересы субъектов ПДн - главное иметь рычаги давления на операторов ПДн.

Как теперь будут развиваться события в России я даже себе представить не могу. Учитывая, что последние изменения ФЗ-152 произошли всего полгода назад и пока никто вносить изменений в законодательство не планировал, Россия опять будет очень сильно отличаться от Европы в части требований по защите прав субъектов ПДн. И врядли в ближайшие полгода Россия займется изменением законодательства - президентские выборы на носу; потом дележка власти. Да и Путин никогда особо не заикался о теме персданных.

Позже попробую проанализировать новую европейскую реформу более детально. Если вы хотите сделать это самостоятельн, то все документы выложены публично.

24.1.12

Банки богатые - пусть платят!

Именно это известное высказывание бывшего первого зама 8-го Центра ФСБ напомнило мне норму нового финансового законодательства.

"11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции
12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления".

Что гласит данная норма ст.9 ФЗ "О национальной платежной системе" (вступает в силу через 18 месяцев после вступления в силу ФЗ)? А гласит она всего-навсего, что в случае любой хакерской атаки и незаконного снятия средств со счетов клиентов, банк будет обязан вернуть украденные деньги.

Приостановить мошеннический платеж (при условии, что его своевременно выявили) банк не имеет права по банковским правилам - это может сделать только клиент. По закону об НПС банк обязан перевести средства незамедлительно. Т.к. снятие средств со счетов обычно проводится в очень сжатые сроки и с момента перевода до момента обналичивания может пройти всего 3-4 часа, то большинство клиентов не в состоянии своевременно дать указание банку о незаконном списании средств со счета. Нередко деньги списываются за 20-30 минут до рейса и банк уже не в состоянии их своевременно вернуть.

Что у нас получается в этом случае? Банк всегда в проигрыше! Остановить мошенничество он не имеет права, а по закону деньги необходимо вернуть проштрафифшемуся клиенту.

Немного спасает ситуацию ч.13 ст.7 закона об НПС. Согласно ей банк обязан незамедлительно после перевода средств уведомить клиента об исполнении распоряжения на перевод. Об этом же говорит и ч.4 ст.9. Если клиент не сообщит в однодневный срок о том, что распоряжение незаконное, то дальше вступают в силу уже условия договора между клиентом и банком, а не требования закона. Однако по ФЗ банк "обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента". Кто его знает, что имел ввиду законодатель. Могу предположить, что речь идет о опубликовании контактов для связи и обеспечение бесперебойной работы этих контактов. В любом случае, банку остается надеяться на то, что он уведомил клиента, который забыл сообщить о незаконном списании средств. Только в этом случае банк освобождается от необходимости возмещения украденных денег.

Правда с уведомлением возникает еще один нюанс, о котором законодатель не думал. Каким образом банк будет оповещать? SMS? E-mail? Телефонный звонок? Но у нас далеко не у всех граждан (особенно в регионах) есть такие средства коммуникаций. Почта? Но тогда ни о какой оперативности уведомления и речи не идет - клиент не в состоянии будет в течение дня уведомить банк о незаконности списания. И опять же кто будет платить за эти уведомления? Сейчас SMS-информирование у многих банков - услуга платная. По закону об НПС уведомление становится обязанностью, а не правом, и банк не имеет право взимать за него деньги. Т.е. затраты опять ложатся на банк. Готов ли банк их принять безоговорочно или он захочет разделить траты с клиентом, а то и полностью переложить их на него? Ставки по кредитам, а также по ДБО могут возрасти...

ЗЫ. Кстати, в ч.4 ст.9 прописан срок хранения информации по электронным платежам - эту норму можно использовать и в контексте сроков хранения ПДн.

ЗЗЫ. Банк в соответствии с ч.3 ст.9 теперь обязан до заключение договора "информировать клиента об условиях использования электронного средства платежа, в частности о любых ограничениях способов и мест использования, случаях повышенного риска использования электронного средства платежа". Т.е. теперь это уже не просто пожелание - сообщать клиенту о рисках и требованиях по ИБ, но и обязанность банка.

23.1.12

Концепция нового мероприятия по ИБ

Не раз я уже писал про мероприятия в области ИБ. И прихожу я к мысли, что организаторы зашли в тупик, пытаясь удовлетворить в первую очередь потребности спонсоров, которые пытаются вольно или невольно, явно или неявно впарить свою продукцию под любым соусом. А организаторы отпускают все это на самотек, иногда пытаясь хоть как-то причесать программу, убрав из нее голимую рекламу. Но итог обычно предрешен - куча несвязанных между собой выступлений, объединенных только тем, что все они про ИБ. Можно ли улучшить эту ситуацию и, с одной стороны, удовлетворить спонсоров, а с другой - посетителей?

Ехал я давеча с заседания программного комитета межотраслевого форума директоров по ИБ и родилась у меня концепция нового мероприятия по ИБ. Идея проста - надо плясать не от спонсоров и даже не от темы ИБ - танцевать надо от потребностей бизнеса, вокруг которых (взяв одну-две за основу) и выстраивать все мероприятие. Допустим стоит перед компанией задача перехода на безбумажный документооборот. Достаточно популярная тема, которая влечет за собой немало вопросов ИБ. Как увязать их вокруг документооборота? И много ли тем вообще наберется? С ходу могу предложить следующий набор докладов, объединенных в высокоуровневые наборы тем:
  1. Юридическая значимость электронных документов
    • Удостоверяющие центры
      • Свой или чужой?
      • Выбор чужого УЦ
      • Построение и аккредитация собственного УЦ
      • Взаимодействие между компаниями
    • Электронная подпись
      • Какую выбрать?
      • Как встроить ЭП в систему ЭД?
      • Носители ЭП - токены, смарт-карты и т.д.
  2. Обеспечение конфиденциальности
    • Защита от утечек
      • Огромный выбор тем про DLP
    • Шифрование
      • При передаче по каналам связи
      • При передаче на носителях
    • Легитимность перлюстрации
  3. Непрерывность функционирования системы ЭД
    • Безопасность ЦОД, в котором стоит система ЭД
      • Свой ЦОД или чужой?
        • Облачный поставщик услуг ЭД
          • Много всего про безопасность облаков
      • SLA и особенности заключения договора с аутсорсинговым ЦОД
    • Защита ЦОД от атак
      • Межсетевые экраны
      • Обнаружение и предотвращение вторжений
      • Отражение DDoS-атак
        • Собственная антиDDoS-система или чужая?
    • Архвивирование сообщений
    • Контентная фильтрация
      • Антиспам
      • Антивирус
    • Анализ защищенности системы ЭД и управление патчами
  4. Удаленный и мобильный доступ к системе ЭД
    • Безопасность мобильных платформ
      • Bring your own device (BYOD)
    • Контроль удаленного доступа
      • Network Admission Control (контроль сетевого доступа)
    • Управление мобильными платформами
  5. Соответствие
    • Оценка соответствия защитных средств и мер
      • ФСТЭК
      • ФСБ
      • Отраслевые стандарты
    • Аудит
      • Как выбрать аудитора?
    • Системы контроля конфигураций
    • Цена вопроса
      • Как выбрать поставщика средств и услуг ИБ
      • Обоснование перед руководством
    • Пользователи
      • Повышение осведомленности
      • Тесты на проникновение
      • Примеры внедрений

      Примерно так (хотя про электронный документооборот я наверное не все темы рассмотрел). И такое дерево тем можно выстроить практически вокруг любой бизнес-задачи, стоящей на повестке дня перед большинством российских организаций. Т.е. темы то по сути теже, что и сейчас рассматриваются на различных конференциях, но тут они объединены единым замыслом и взаимоувязаны друг с другом. А это гораздо более ценно, чем набор пусть и интересных, но разрозненных тем. И пользователю такие мероприятия будут гораздо интереснее, чем нынешние. А следовательно и спонсору понравится целевая аудитория. Да и статус организаторы сразу повысится; особенно у того, кто первый сделает шаг в этом направлении.

      20.1.12

      И вновь о контроле Интернет - 2

      Помните ли вы об аукционе, который объявило Правительство РФ в апреле и одним из лотов которого было изучение зарубежного опыта регулирования ответственности участников правоотношений при использовании сети Интернет.

      Решил я тут поинтересоваться его результатами. И вот что выяснилось. На аукцион было подано 13 заявок, из которых 2 было отсеяно по формальным признакам. Среди тех, кто остался - Координационный центр национального домена сети Интернет, МФТИ, "Интернет и право", ИКС-Холдинг и ряд других. Победил в конкурсе, упав по цене вдвое (с 973 тысяч рублей до 490 тысяч), Институт законодательства и сравнительного правоведения при Правительстве РФ. Может это и случайность, когда аукцион, организованный Правительством, выигрывает структура при Правительстве?.. Причем данный лот по контролю Интернет один из самых непростых среди всех лотов аукциона - он вызвал широкий резонанс на тот момент.

      К сожалению, результатов работы правительственного института я не видел ;-(

      ЗЫ. Кстати, конкурс Минкомсвязи по регулированию облаков признан несостоявшимся по причине  подачи всего одной заявки на участие (от Аладдина Р.Д.).

      19.1.12

      И вновь об оценке соответствия средств защиты

      Пункт 4 ст.5 ФЗ-184 "О техническом регулировании" в прежней редакции звучал следующим образом "Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации". Все было предельно четко и понятно. Требования по сертификации средств защиты устанавливаются только Правительством РФ и никем иным.

      30 ноября 2011 года незамеченный многими ФЗ-347 внес малюсенькое такое изменение, которое коренным образом меняет ситуацию с сертификацией средств защиты, ужесточая ее (или давая такую возможность). Новый текст звучит так: "Особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи, а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти". Жирным выделено внесенное изменение.

      Вот тут и вспомнишь поневоле старый мультфильм про Виктора Перестукина "Страна невыученных уроков" и задачу "где поставить запятую в фразе "казнить нельзя помиловать". Незначительная поправка и ситуация меняется в худшую сторону - регуляторы теперь имеют право самостоятельно, без оглядки на Правительство выпускать собственные нормативные требования по сертификации средств защиты.

      18.1.12

      А что если?

      Есть в менеджменте один полезный инструмент - процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных, или, короче, анализ "что если" (what if). Причем это не гадание на кофейной гуще, а вполне себе адекватный метод прогнозирования, позволяющий определить возможный ход событий и разработать программу действий на случай, если прогноз сбудется.

      Этот метод можно применять и в ИБ, причем он может стать хорошей альтернативой принятым сегодня подходам к выстраиванию деятельности службы ИБ. Аналогичный сценарий нередко используется в проектах по ПДн. Операторы, не имея возможности выполнить все параноидальные требования регуляторов, закрывают только те, на которые регуляторы обращают внимание в первую очередь. Метод "что если" построен по тому же принципу. Мы выписываем возможные сценарии в области ИБ, которые затем приоритезируем и готовим программу действий по нейтрализации сценария.

      Чтобы я включил в список возможных сценариев "что если"? Сходу вырисовывается следующий список:
      • А что если завтра придет выездная проверка Роскомнадзора по линии персданных?
      • А что если завтра придет "письмо счастья" из Роскомнадзора (документарная проверка) по вопросам ПДн?
      • А что если завтра придет проверка ФСТЭК в части ТЗКИ?
      • А что если завтра придет проверка ФСБ в части шифрования?
      • А что если завтра в Интернете опубликуют сведения о произошедшеи у нас инциденте ИБ?
      • А что если завтра на нас проведут DDoS-атаку (или осуществят иные распространенные атаки)?
      • А что если завтра произойдет инцидент ИБ?
      • А что если завтра мой поставщик средств защиты и услуг ИБ обанкротится или мое начальство откажется с ними дальше работать?
      • А что если завтра производитель средств защиты будет куплен более крупным игроком рынка ИБ?
      • А что если завтра руководитель компании захочет сократить персонал службы ИБ?
      • А что если завтра CIO захочет перейти на облачные вычисления (или иные новомодные технологии)?
      • А что если завтра наша компания поглотит другую компанию?
      Безусловно это далеко не полный список; скорее так, минутный мозговой штурм. Но он позволяет задуматься и найти пробелы в собственном плане обеспечения ИБ. А главное, что правильная реализация подхода "что если" позволяет не распыляться по мелочам, а закрывать только реальные риски, которые и могут стать причиной потенциальных, но серьезных проблем.

      17.1.12

      Top 5 мероприятий по ИБ на ближайшее полугодие

      Вот решил составить Топ5 публичных и крупных мероприятий по ИБ в России на ближайшие полгода:
      1. IV Межбанковская конференция "УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ" - 13-18 февраля - Магнитогорск
      2. РусКрипто - 28-31 марта - Москва
      3. Межотраслевой форум директоров по ИБ - 19-20 апреля - Москва
      4. Positive Hack Days - 30-31 мая - Москва
      5. IT & Security Forum - 7-8 июня - Казань.
      Скажу сразу, что это мой личный Топ5 - я могу их рекомендовать как минимум по двум из трех критериев - контент и общение. Третий критерий - организация у некоторых из мероприятий страдает, но не так сильно, чтобы из-за этого их не посещать.

      В список не попала PCI DSS Russia, которая пройдет  марта в Москве. Но просто потому, что я на ней в прошлом году не был и не смог составить собственного мнения. IDC IT Security Roadshow в Москве в этом году не включаю в Топ5. 10-ый раз это мероприятие уже проходит и все как-то без изюминки. Достаточно стандартное мероприятие, проводимое на неплохом уровне, но очень уж далекое от реальностей российских специалистов по ИБ. Региональные мероприятие (нижегородское, челябинское и т.п. не включаю, т.к. они хоть и проходят на очень достойном уровне, но все-таки не относятся к тем, на которые едут из разных городов России).

      Часть мероприятий не включал сознательно - либо ни о чем, либо идиотская организация.

      Табличку мероприятий обновил:
      Крупные мероприятия по информационной безопасности на 2012 год

      ЗЫ. Отмечу, что InfoSecurity в этом году сократилась и будет проводиться не 3, а 2 дня.

      ЗЗЫ. Была идея создать публичный календарь мероприятий по ИБ, но что-то не нашел движка для этого.

        16.1.12

        ThreatMetrix покупает TrustDefender

        10 января американская ThreatMetrix анонсировала приобретение австралийской TrustDefender. Обе компании в России неизвестны - первая занимается решениями по борьбе с киберпреступлениями, а вторая - средствами безопасного серфинга в Интернет. Детали сделки не разглашаются.

        Если б я был директором ФСТЭК

        то мой план действий по улучшению и развитию направления "Информационная безопасность" в России содержал бы такие пункты:
        1. Создание единого органа по информационной безопасности, объединяющего разрозненные усилия ФСТЭК, ФСБ, МинОбороны, ФСО, СВР, Минкомсвязи и др. в данной сфере.
        2. Гармонизация и развитие законодательства в сфере киберпространства
          1. Приведение к единой терминологии в части защищаемой информации
          2. Уменьшением числа тайн
          3. Создание и развитие системы киберполиции и киберсудов
          4. Актуализация законодательства применительно к особенностям киберпространства
          5. Разработка норм взаимодействия с международным сообществом при расследовании инцидентов ИБ (принятие Будапештской Конвенции)
          6. Разделение требований по ИБ для госорганов и критически важных объектов от требований для бизнеса и общества
        3. Создание системы защиты внутреннего киберпространства России
          1. Стимулирование развития отечественной индустрии разработки средств защиты
          2. Создание лабораторий и разработка стандартов оценки соответствия с точки зрения ИБ и совместимости
          3. Создание единой системы оценки соответствия в области ИБ, требования которой будут дифференцированными в зависимости от типа защищаемой информации и принятой стратегии управления рисками
          4. Разработка и повсеместное внедрение стандартов ИБ
          5. Создание системы центров реагирования на инциденты, включая регулярную публикацию уровня защищенности
          6. Разработка и внедрение систем мониторинга враждебной онлайн-активности
          7. Стимуляция владельцев и собственников ключевых систем информационной инфраструктуры к инвестициям в безопасность инфраструктуры
        4. Создание системы для защиты бизнеса в киберпространстве
          1. Стимулирование развития отечественной индустрии разработки средств борьбы с мошенничеством
          2. Создание национальных служб проверки подлинности (центры сертификации, IAM-сервисы и т.д.)
          3. Внедрение и развитие системы мониторинга и уведомления о киберпреступности
          4. Создание системы доверия онлайн-транзакциям и иным взаимодействиям хозяйствующих субъектов
          5. Признание международных стандартов в области онлайн-торговли и электронной подписи, а также в области ИБ
          6. Разработка рекомендаций по выполнению требований законодательства со стороны органов контроля (надзора)
          7. Разработка системы поощрения внедрения защитных мероприятий (а не только системы наказания) при организации контроля (надзора)
          8. Снижение числа ситуаций, при которых наличие лицензии в области ИБ является обязательной
          9. Создание экспертных советов в области ИБ
        5. Создание системы для защиты общества и граждан в киберпространстве
          1. Разработка и внедрение системы мониторинга проявлений экстремизма в киберпространстве
          2. Разработка и внедрение системы защиты детей от негативного контента
          3. Создание системы повышения осведомленности граждан о безопасности в киберпространстве
          4. Разработка и внедрение предмета ИБ для детей в школах
          5. Поддержка национального дня (или месячника) кибербезопасности
          6. Поощрение СМИ к освещению вопросов ИБ и повышению осведомленности граждан и общества
        6. Создание системы подготовки кадров в области ИБ
          1. Разработка и внедрение курсов по ИБ в институтах и колледжах
          2. Стимулирование исследований в области ИБ (разработка системы грантов для молодых специалистов)
          3. Непрерывное обучение правоохранительных и судебных органов
        7. Создание системы обороны и нападения в киберпространстве
          1. Разработка стратегии ведения кибервойн
          2. Создание подразделений ведения кибервойн
          3. Разработка инструментов для ведения кибервойн.

        13.1.12

        О моем Twitter

        В качестве напоминания: у меня действует Twitter (https://twitter.com/alukatsky). Он не повторяет блог, а является самостоятельным источником публикаций (хотя перепосты с блога туда ведутся). Но там идет много самостоятельной информации, для которой создание отдельных заметок в блоге - слишком роскошное удовольствие, но информация полезная. Например, вчера в твиттере были ссылки на анализ нового проекта Постановления Правительства по криптографии, мнение Минфина о том, как учитывать расходы на разработку нормативной базы по защите информации при налогообложени, новое письмо ФСТЭК для тех, кто подал документы на получение новых лицензий и т.д. Так что подписывайтесь на Twitter - там тоже много полезного ;-)

        Думает ли будущий Президент об ИТ и ИБ?

        Почитал предвыборную программу кандидата в Президенты РФ - г-на Путина. Итак, что же говорит по "нашей" теме человек, который термин "ИТ" или "информационные технологии" в своей речи практически не использует. Я нашел всего три упоминания ИТ/ИБ:
        1. "Мы будем активно защищать основы нравственности в средствах массовой информации и в интернет-сфере. Современные технологии должны помогать нашим гражданам быть в курсе событий, общаться, учиться и работать. Мы будем бороться с попыткой использовать информационное пространство для пропаганды жестокости, национализма, порнографии, наркомании, курения и пьянства". Иными словами контроль в Интернет будет усилен ;-(
        2. "Будем способствовать дальнейшему развитию современных отраслей – телекоммуникаций, информационных технологий, биотехнологий и других". Т.е. то, что было последние годы - это было развитие... ;-(
        3. "Максимальное количество услуг будет доступно в электронной форме". 
        Это все! Словоблудие, иначе не скажешь. Ни слова о том, КАК потенциальный Президент будет реализовывать эти фразы "ни о чем".

        Что думает об ИТ/ИБ г-н Прохоров? В его программа есть только один пункт, хоть как-то связанные с новыми технологиями - "автоматические устройства для голосования – на все участки в стране". Не густо ;-(

        Г-н Явлинский про ИТ не говорит вообще ничего. Только ратует за "максимальное ограничение коммерческой тайны для монополий, компаний с государственным участием, а также компаний, работающих по государственному и муниципальному заказу либо получающих бюджетную поддержку" и обеспечение "тайну личной жизни: переписки и телефонных разговоров".

        Зюганов пока программу не опубликовал, но в предварительном ее варианте об ИТ тоже ни слова. Жириновский тоже пока не публиковал программу; как и Миронов. Но в предвыборной программе справедливоросов перед думскими выборами об ИТ тоже ни слова.

        Интересная картина получается. Один из драйверов развития не упоминается никем, окромя Путина; да и тот ни слова не говорит о том, как будут реаализовываться на практике его слова. Грустно...

        ЗЫ. Надо предложить кому-нибудь из кандидатов раздел по ИБ в его программу ;-)

        12.1.12

        Новая версия курса по персданным

        Обновил курс по персданным (текущая версия 4.3). Последние изменения:
        • Как оформлять факт уничтожения ПДн
        • Согласие на обработку ПДн без договора подряда
        • Анализ результатов работы Консультационного центра АРБ
        • Родственники сотрудников банка как инсайдеры согласно разъяснениям ЦБ
        • Обработка ПДн членов Правления, Совета Директоров, Ревизионной комиссии и т.п.
        • Официальное письмо ЦБ по поводу лицензирования деятельности по ТЗКИ
        • О новой версии «письма шести»
        • Мнение ЦБ о статусе СТО в контексте новой редакции ФЗ-152
        • Обработка ПДн при работе с международными платежными системами
        • Что включать в публичную политику обработки ПДн на сайте (особенно в части описания системы защиты)?
        • Мнение РКН по поводу отнесения фотографии к биометрическим ПДн
        • Анализ нового административного регламента РКН
        • Новые основания для плановых и внеплановых проверок РКН
        • Планы РКН по «перехвату» статьи 13.11 КоАП у прокуратуры
        • Изменения 57-ФЗ (для банков)
        • Новый план проверок на 2012 год

        Новости Роскомнадзора

        На сайте Гаранта размещено предновогоднее интервью Шередина. Ничего нового в нем особо нет, но в нем, пусть и неявно, но Шередин признал возможность получения конклюдентного согласия при регистрации в социальных сетях. Лед тронулся... Второй новостью является публикация новой редакции Административного регламента РКН по части проверок выполнения ФЗ-152 операторами ПДн. Он утвержден Минкомсвязи и зарегистрирован Минюстом. Никакого нового криминала я там не заметил - все, что уже давно практикуется Роскомнадзором.

        UPDATE: Незамеченный мной сразу п.42.1 про контроль ТЕХНИЧЕСКИХ аспектов защиты ПДн рассмотрен Сергеем Ерохиным.

        11.1.12

        Удостоен благодарности министра внутренних дел

        В Facebook я уже отписывался про это, но решил и тут повториться - получил благодарность от министра внутренних дел! О как!


        Отечественные решения для защиты мобильных платформ

        Тема безопасности мобильных платформ в последнее время поднимается в России все чаще. И решений, реализующих эту задачу представлено немало. Но если пытаться объединить потребности клиентов с требованиями регуляторов, то возникают очевидные сложности в отсутствии необходимых сертификатов соответствия ФСТЭК или ФСБ. Поэтому на российском рынке стали появляться отечественные продукты по защите мобильных платформ, которые либо уже сертифицированы регуляторами, либо находятся в процессе сертификации, либо могут быть сертифицированы. К таким продуктам можно отнести (в порядке вспоминания мной):
        • Kaspersky Mobile Security - продукт Лаборатории Касперского для защиты Android, Blackberry, Symbian и Windows Mobile.
        • S-Terra VPN Client for CIUS - продукт S-Terra для защиты Cisco CIUS на платформе Android.
        • ViPNet Client - VPN-клиенты Инфотекса для платформ iOS и Android.
        • "Континент-АП" для iOS - VPN-клиент Информзащиты для своего Континента для платформы iOS.
        • Safephone - продукт НИИ СОКБ для защиты платформы Symbian (iOS будет в первой половине 2012 года, а Android - во второй).
        • Green-Head - продукт одноименной отечественной компании для платформ (в зависимости от функционала) Android, Blackberry и Symbian.
        И немного особняком стоят отечественные продукты для защиты мобильной связи:
        • Voice Coder Mobile - продукт Сигнал-КОМа для защиты речевого сигнала на платформе Windows Mobile.
        • Специальные сотовые телефоны М-500 и М-633С - готовые мобильные телефоны НТЦ "Атлас" для защиты речевого сигнала. Ориентированы на госорганы.

        Задачей этого поста не является анализ и сравнение всех упомянутых продуктов. Просто я решил свести воедино перечень продуктов отечественного производства, предназначенных для защиты мобильных платформ. Из всех них я пробовал только Kaspersky Mobile Security на Nokia e61i с Symbian. На этот Новый Год подарили мне Green-Head, но т.к. я пользую iPhone, то попробовать этот софт не удалось. Остальные - продукты корпоративного класса и требуют серверной части. VCM и M-500/M-633C имеют очень, на мой взгляд, очень ограниченную область применения - сегодня мало кто пользуется просто телефонами или смартфонами на базе старой Windows Mobile - большинство уже перешло на другие мобильные платформы.

        UPDATE: Еще есть отечественное решение iBlob для защиты мобильных платформ Apple.

        10.1.12

        А что у нас с народным логотипом?

        Просматривал я тут свои посты за 2011-й год и наткнулся на заметку о народном логотипе по защите персональных данных. Кто помнит, хорошо. Кто не помнит, напомню - выбирали "всем миром" логотип, который должны вешать на себя компании, которые защитили персональные данные по высшему разряду.

        Критики этой акции было немало; я тоже был в числе критиков. Но меня заверяли, что я не прав. И выборы были честные, и акция была нужная, и логотип будет востребованным. Потом стало известно, что права на проект перешли Anti-malware.ru. И по сему факту Илья так прокомментировал перспективы проекта: "Мы планируем, что к концу года проект заработает в полную силу, и каждый гражданин сможет зайти на сайт проекта, посмотреть список компаний, которым можно безопасно доверять свои персональные данные, и даже удостовериться в чистоте их репутации в контексте инцидентов с утечками или несанкционированным использованием персональных данных". И что же? Каковы результаты на сегодняшний день?

        Насколько я понимаю с 5-го октября, когда таинственная Марина М. была названа победителем конкурса, так ничего и не поменялось. На сайте до сих пор отсутствует хоть какой-то рассказ об этой Марине. Отсутствует обещанная статистика голосования. Отсутствуют правила использования логотипа. Отсутствует список компаний, которым можно безопасно доверять свои персональные данные. И т.д. Вопросы, как понятно, риторические...

        Что произошло за 10 дней нового года

        Для затравки, первый пост в новом году для освещения событий, произошедших за первые десять дней:
        • F-Secure опубликовала очень интересное сравнение того, как в разных странах Евросоюза люди воспринимают персональные данные. Я про аналогичное исследование уже писал, но тут очень понятная визуализация.
        • Лукашенко запретил в Белоруссии доступ к сайтам НЕ в домене .by, тем самым локализовав доступ своих граждан только к сайтам, зарегистрированным в Байнете (белорусский сегмент Интернет).
        • Украина создает свои кибервойска, а также планирует в этом году рассмотреть законопроект "О киберпреступности".
        • НАУФОР направил во ФСТЭК письмо с критикой действующего положения дел в области защиты информации. Не то, чтобы новость этой декады, но раньше как-то я не натыкался на нее. Видимо это письмо связано с утверждением стандарта НАУФОР по безопасности ПДн.
        • Генпрокуратура опубликовала сводный план проверок на 2012 год.
        • У Symantec утекли исходные коды Norton Antivirus. Всего спустя месяц после публикации большого исследования Symantec об утечках интеллектуальной собственности.