29.6.12

Новый курс - по безопасности НПС

Родился нежный, лирический... нет, не тост, а курс. По безопасности национальной платежной системы. Неоригинально, но свежо. В последнее время несколько учебных центров просило сделать что-нибудь по данному направлению и оно сделалось. Программа следующая:
  1. Что такое Национальная платежная система
    • Предыстория появления
    • Основные определения
    • Участники НПС
    • Кто подпадает под требования НПС
  2. ФЗ-161 и его влияние на информационную безопасность
  3. Иерархия требований по информационной безопасности
    • Постановление Правительства № 584 "О защите информации в платежной системе"
    • Положение Банка России 382-П
    • Указание Банка России 2831-У
    • Положение Банка России 381-П
    • Положение Банка России 380-П
    • Иные нормативные документы Банка России по информационной безопасности
    • Место и прогнозы развития СТО БР ИББС в контексте НПС?
  4. Оценка соответствия по вопросам ИБ в рамках НПС
    • Необходимо ли использовать сертифицированные средства защиты?
    • Ситуация с СКЗИ в НПС
    • Необходимо ли получать лицензию на деятельность по ТЗКИ? При каких условиях?
  5. Персональные данные при переводе денежных средств: как защищать?
  6. Наказание за неисполнение ФЗ-161 и подзаконных актов
  7. Контроль и надзор в области защиты информации в НПС
    • Права и обязанности ФСТЭК
    • Права и обязанности ФСБ
    • Права и обязанности Банка России

Первый раз буду читать эту тему 19 июля в "Финансовом консалтинге".

ЗЫ. Ну и курсы по реагированию на инциденты и моделирование угроз должны вновь стать популярными - ведь теперь это обязательные к исполнению темы.

28.6.12

Вся безопасность НПС в одной презентации

Вчера я проводил онлайн-семинар по обзору требований по защите информации в Национальной платежной системе. Ну и как часто бывает, презентация делалась в ночь перед семинаром. Так что получилось может быть коротковато и поверхностно, но зато позволяет быстро вникнуть в проблематику, основные определения и требования. Глубокого анализа ФЗ-161 не ждите, но вопросы защиты информации раскрыты ;-)


27.6.12

Краткий обзор 380-П и 381-П по надзору НПС

В понедельник и вторник я описал два новых и основных документа по защите информации в НПС - 382-П и 2831-У. В целом же картина нормотворчества в области регулирования вопросов информационной безопасности в НПС выглядит следующим образом:


Про ФЗ-161 я уже как-то писал (тут и тут), про новое Постановление Правительства №584 тоже, как и про 379-П. Что у нас осталось неохваченным? 380-П и 381-П, которые и рассмотрим сейчас.

Положение Банка России от 31 мая 2012 года № 380-П "О порядке осуществления наблюдения в национальной платежной системе" устанавливает общий порядок наблюдения Банком России за деятельностью операторов по переводу денежных средств, операторов платежных систем, операторов услуг платежной инфраструктуры (наблюдаемых организаций), других субъектов национальной платежной системы, за оказываемыми ими услугами, а также за развитием платежных систем, платежной инфраструктуры. В рамках мониторинга Банк России вправе запрашивать у операторов по переводу денежных средств и платежных агентов (субагентов) среди прочего информацию
  • об уровне обеспечения защиты информации при осуществлении переводов денежных средств,
  • об информационно-коммуникационных технологиях, а также электронных носителях и технических устройствах, используемых при предоставлении платежных услуг,
  • а также о попытках (в том числе реализованных) негативного воздействия на предоставляемые услуги, зафиксированных субъектом НПС, в том числе в случаях мошеннических действий и (или) сетевых взломов, сопровождаемых несанкционированным проникновением в операционную (информационную) систему субъекта НПС.
У операционных, платежных клиринговых и расчетных центров ЦБ не может (почему-то) запрашивать информацию об уровне обеспечения защиты информации, но может об уровне бесперебойности оказания операционных услуг и иных услуг платежной инфраструктуры, о попытках (в том числе реализованных) негативного воздействия на предоставляемые услуги, зафиксированных операторами услуг платежной инфраструктуры, в том числе в случаях мошеннических действий и (или) сетевых взломов, сопровождаемых несанкционированным проникновением в операционную (информационную) систему субъекта НПС и о способах снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы. У операторов платежной системы нельзя вообще ничего запрашивать в контексте рисков, безопасности, инцидентов и т.д.

Отдельно 380-П выделяет оценку значимой платежной системы, в рамках которой оценивается деятельность такой платежной системы по ряду показателей, включая и уровень защиты информации при переводе денежных средств. Если в процессе анализа значимых платежных систем находятся недостатки, то ЦБ может выступить с предложением по совершенствованию защиты информации.

Положение Банка России от 9 июня 2012 № 381-П "О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", принятых в соответствие с ним нормативных актов Банка России" устанавливает порядок осуществления Банком России надзора за соблюдением не являющимися кредитными организациями операторами платежных систем и операторами услуг платежной инфраструктуры. Такой надзор, процедура которого и описана в 381-П, включает в себя:
  • дистанционный надзор,
  • проведение плановых (1 раз в 2 года) и внеплановых инспекционных проверок,
  • а также применение действий и мер принуждения в случае нарушения поднадзорной организацией требований Федерального закона N 161-ФЗ, принятых в соответствии с ним нормативных актов Банка России.

Нарушения требований Федерального закона N 161-ФЗ, принятых в соответствии с ним нормативных актов Банка России, выявленные при осуществлении надзора и подтвержденные документами и информацией, являются основанием для применения к поднадзорной организации действий и мер принуждения, предусмотренных статьей 34 Федерального закона N 161-ФЗ. К числу таких мер относятся:
  • доведение до нарушителя информации о нарушении
  • направление нарушителю рекомендаций об устранении нарушения
  • направление нарушителю предписание об устранении нарушения
  • ограничение (приостановление) оказания операционных услуг
  • исключение оператора платежной системы из реестра таких операторов
  • привлечение к административной ответственности.

26.6.12

Краткий обзор 2831-У по отчетности в области защиты информации в НПС

9 июня Банк России еще один нормативный акт - Указание 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". Оно устанавливает формы отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств (далее - отчетность), сроки предоставления отчетности и методики составления отчетности.

Указание 2831-У устанавливает 2 новых формы отчетности:
  • 0403202 - "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств". Предоставляется не позднее тридцати рабочих дней со дня завершения проведения оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года №382-П.
  • 0403203 - "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (устанавливается для операторов услуг платежной инфраструктуры и операторов по переводу денежных средств). Предоставляется ежемесячно не позднее десятого рабочего дня месяца, следующего за отчетным или не позднее десяти рабочих дней со дня получения письменного требования Банка России.
В отчете по форме 0403202 указываются значения показателей EV1пс и EV2пс, итоговый показатель Rпс, а также сведения об осуществлении оценки соответствия самостоятельно отчитывающимся оператором или сторонней организацией на договорной основе.

К инцидентам по форме 0403203 относятся:
  • воздействие программного кода, приводящее к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), результатом которого является нарушение предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств;
  • реализация воздействий на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), с целью создания условий невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств;
  • нарушение конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами;
  • компрометация ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;
  • осуществление переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами, вследствие нарушения конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами или вследствие компрометации ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств; 
  • воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, оформленных в рамках применяемой формы безналичных расчетов, распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;
  • невозможность предоставления услуг по переводу денежных средств в платежной системе в течение трех часов и более. 
Сама форма отчета проста:


Вот такое указание подготовил ЦБ. Если раньше, внедрение СТО сопровождалось только фактом уведомления ЦБ о введении приказом комплекса стандартов, то сейчас важно указывать не только факт присоединения и уровень соответствия, но и ежемесячно отчитываться об инцидентах с ИБ у себя и в подотчетных платежных агентах (субагентах). Это позволит Банку России выявлять тех операторов НПС, которые завышают уровень своего соответствия или относятся к защите информации в НПС спустя рукава; для галочки. Отчетность по инцидентам должна показать реальное положение дел (если конечно банки не будут скрывать эти сведения). Но для борьбы с этим есть другое положение ЦБ, о котором мы поговорим уже завтра.

25.6.12

Список мероприятий по ИБ на этот год

Обновил список мероприятий по ИБ до конца года (там, где известны даты). Вообще хочется заметить, что планировать 5 мероприятий (из них 4 крупных) на сентябрь (причем на вторую его половину) - это, как бы сказать,... не очень умно. Учитывая, что часть мероприятий проходит за пределами одного города и потребуются командировочные расходы, то надеяться собрать на каждой из конференций достаточное количество посетителей будет сложно. Да и без командировок бывает сложно в течение месяца выбраться на несколько мероприятий в одном городе (ведь и работать еще надо успевать). Как бы не получилось, что на всех мероприятиях число продавцов своих услуг и продуктов будет превышать число потенциальных потребителей этих услуг и продуктов... Это будет минусом для всех. И для организаторов, и для посетителей, и для спонсоров. В итоге в следующем году те же мероприятия могут и не набрать своей аудитории вовсе. Конечно, при условии, что организаторы не замутят какую-нибудь фишку (вроде того, что было сделано на PHDays или IT & Security Forum, разделенных всего неделей, но собравших по несколько сотен человек каждый).


Краткий обзор 382-П по защите информации в НПС

9 июня Банком России во исполнение ФЗ-161 было утверждено новое "Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (интересно, что ссылки на ПП-584 нет), вступающее в силу с 1-го июля 2012 года. Про проект этого положения я уже писал. Теперь хотелось бы уделить чуть больше внимания этому документу. Тем более, что он отличается от проекта (и местами сильно).

Распространяется оно на операторов по переводу денежных средств (например, банки), банковских платежных агентов (субагентов), операторов платежных систем и операторов услуг платежной инфраструктуры. Однако за соблюдением банковскими агентами (субагентами) требований 382-П следит не Банк России, а оператор по переводу денежных средств (что-то похожее, как я понимаю, сделано и в PCI DSS, где Visa/MasterCard следит только за банками, а банки уже следят за ритейлом, подключающимся к банку).Защитаться можно как самостоятельно, так и с привлечением внешних фирм, но только имеющих лицензию на ТЗКИ.

Положение, согласованное с ФСБ и ФСТЭК (под ним стоят подписи Бортникова и Селина), распространяется на защиту большого перечня видов информации:
  • информации об остатках денежных средств на банковских счетах;
  • информации об остатках электронных денежных средств;
  • информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы;
  • информации, содержащейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее - клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;
  • информации о платежных клиринговых позициях; информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;
  • ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемых при осуществлении переводов денежных средств (далее - криптографические ключи);
  • информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств по защите информации;
  • информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств.
Интересен последний пункт. Если следовать буквальному прочтению, то получается, что защита ПДн в рамках переводов денежных средств, подпадает под действие указанного положения 382-П, а не прямых документов ФСТЭК и ФСБ. А это в свою очередь влечет очень интересные следствия, т.к. подходы к защите ЦБ и ФСТЭК/ФСБ "немного" отличаются.

Требования по защите при осуществлении переводов денежных средств включают в себя множество знакомых пользователям СТО БР ИББС пунктов:
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при назначении и распределении функциональных прав и обязанностей лиц, связанных с осуществлением переводов денежных средств;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при осуществлении доступа к объектам информационной инфраструктуры, включая 
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от несанкционированного доступа;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании информационно-телекоммуникационной сети Интернет при осуществлении переводов денежных средств;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании СКЗИ;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием взаимоувязанной совокупности организационных мер защиты информации и технических средств защиты информации, применяемых для контроля выполнения технологии обработки защищаемой информации при осуществлении переводов денежных средств;
  • требования к организации и функционированию подразделения (работников), ответственного (ответственных) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности);
  • требования к повышению осведомленности работников оператора по переводу денежных средств, банковского платежного агента (субагента), являющегося юридическим лицом, оператора услуг платежной инфраструктуры и клиентов в области обеспечения защиты информации;
  • требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них;
  • требования к определению и реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;
  • требования к оценке выполнения оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств;
  • требования к доведению оператором по переводу денежных средств, оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств;
  • требования к совершенствованию оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры защиты информации при осуществлении переводов денежных средств.
Требований немало. Для тех, кто так и не решился  на внедрение СТО БР ИББС, многое будет в новинку. Ну а для тех, кто уже внедрил или нахолится в процессе внедрения Стандарта ЦБ, действительно революционных вещей не будет. За исключением, пожалуй, вопросов отчетности, предусмотренных в Указании Банка России 2831-У, которое мы рассмотрим завтра. Ну и, конечно, немало придется потратиться на документирование всех аспектов защиты НПС. Этому вопросу исторически уделяется немало внимания.

Из наиболее интересных моментов, указанных в 382-П, хочу отметить следующее:
  • С точки зрения защиты от НСД повторяется история СТО - могут быть как сертифицированные, так и несертифицированные СЗИ.
  • Операторы по переводу денежных средств обязаны регулярно информировать клиентов о новых угрозах и рекомендациях по борьбе с ними. К сожалению, не удалось пробить конкретные показатели регулярности, но и это уже немало.
  • Оператор платежной системы самостоятельно определяет необходимость использования СКЗИ, если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации. Если СКЗИ нужны, то работы по обеспечению защиты информации с помощью СКЗИ проводятся в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" , Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), и технической документацией на СКЗИ.
  • Самое интересное. "В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа". А если нероссийского производства? ПКЗ-2005 на такие СКЗИ не распространяется. Ввозятся такие СКЗИ под разрешение ФСБ (если длина ключей для симметричных СКЗИ свыше 56 бит) и разрешение на ввоз формально означает и разрешение на эксплуатацию. Есть СКЗИ только предназначенные для защиты финансовых транзакций (например, маршрутизатор для банкоматов Cisco 800-PCI) и для них выпускается нотификация, разрешающая свободный ввоз на территорию РФ. Иными словами получается, что в НПС могут применяться любые СКЗИ?!... Надо этот пункт серьезно обдумать, т.к. возможны нюансы. Например, в Приложении 2, в котором приведен перечень требований, проверяемых в рамках оценки соответствия, говорится, что проверяется просто наличие СКЗИ, имеющих сертификат или разрешение ФСБ (без учетах происхождения СКЗИ). Т.е. ждем первых проверок.
  • В топ-менеджменте операторов по переводу денежных средств или операторов услуг платежной инфраструктуры назначаются кураторы по ИБ, которые не должны совпадать с кураторами по ИТ.
  • На оператора платежной системы возлагается большая работа по реагированию на инциденты, разработке методик анализа и реагирования, информирование операторов по переводу и операторов инфраструктуры о выявленных инцидентах и т.д.
  • Оценка соответствия требованиям по ИБ проводится самостоятельно или с приглашением внешних организаций в соответствие с методикой, приведенной в приложении к 382-П (похожа на методику в СТО БР ИББС). При этом требования наличия лицензии на ТЗКИ у такой организации в 382-П нет.
  • Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры обязаны информировать оператора платежной системы о том, как они осуществляют защиту информации. В информирование включается информация
    • о степени выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
    • о реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;
    • о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;
    • о результатах проведенных оценок соответствия;
    • о выявленных угрозах и уязвимостях в обеспечении защиты информации.
Контроль за выполнением 382-П осуществляется Банком России. При этом Банк России проводит проверки:
  • операторов платежных систем, являющихся кредитными организациями,
  • операторов услуг платежной инфраструктуры, являющихся кредитными организациями,
  • операторов по переводу денежных средств, являющихся кредитными организациями,
а также инспекционные проверки
  • операторов платежных систем, не являющихся кредитными организациями,
  • операторов услуг платежной инфраструктуры, не являющихся кредитными организациями.
В рамках проверок Банк России запрашивает и получает у операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств документы и информацию, в том числе содержащую персональные данные, о деятельности, связанной с выполнением требований к обеспечению защиты информации при осуществлении переводов денежных средств; требует разъяснения по полученной информации. Информацию и документы о соблюдении правил защиты информации платежными агентами (субагентами) Банк России запрашивает у операторов по переводу денежных средств.

Вот такой документ; один из нескольких разработанных в рамках законодательства об НПС и определяющих требования по защите информации.

21.6.12

ФСТЭК определилась с позицией по лицензированию ТЗКИ

Вчера в 16.30 ФСТЭК опубликовала на своем сайте информационное сообщение, датированное 30-м мая и номером №240/22/2222, по вопросу необходимости получения лицензии ФСТЭК России на деятельность по ТЗКИ.

Идея ФСТЭК проста и была озвучена еще на межотраслевом форуме директоров по ИБ Виталием Сергеевичем Лютиковым. Если организация не извлекает прибыль из деятельности по ТЗКИ, если эта деятельность не прописана в учредительных документах (например, в Уставе), либо если эта деятельности не осуществляется по поручению обладателя информации или заказчика информационной системы в соответствие с трехглавым ФЗ-149, то лицензия ФСТЭК на ТЗКИ организации не нужна. Иными словами, абсолютному большинству организаций, теперь не требуется искать основания и заниматься юридическим крючкотворством, чтобы обосновать отсутствие лицензии ФСТЭК на ТЗКИ.

Эта официальная позиция, вновь вернулась к тому, что было изложено еще в 290-м Постановлении Правительства от 30.04.2002. 6 лет и справедливость восторжествовала. ФСТЭК можно только похвалить за такую позицию, которая должно быть доведена до всех региональных инспекций ФСТЭК.

20.6.12

А вы знаете Юрия Рыжова?

Немного официальных фактов. Рыжов Юрий Алексеевич. Родился 28 октября 1930 года в Москве. Академик Российской Академии Наук. Специалист в области аэродинамики больших скоростей. С 1986 по 1992 год - ректор Московского Авиационного института. В 1989-91 годах - народный депутат, член президиума Верховного совета СССР. Один из организаторов Межрегиональной депутатской группы Съезда Народных депутатов СССР. С 1992 по 1999 год - чрезвычайный и полномочный посол России во Франции. Ныне президент Международного Инженерного университета, члена попечительского совета фонда "Индем", председатель Российского комитета Международного движения ученых "За обеспечение безопасности человечества". Кавалер французского Ордена Почетного легиона. Женат, отец двоих дочерей.

Какое отношение он имеет к информационной безопасности? Самое прямое. Именно Юрий Рыжов, а точнее возглавляемая им в 1990-м году парламентская комиссия,  впервые ввела термин "информационная безопасность". Эта комиссия, работавшая 40 дней, разрабатывала Концепцию национальной безопасности, а также иерархию основополагающих документов, на которые должны опираться все нормативные акты по безопасности.


 Комиссия Рыжова разработала и алгоритм, по которому должны действовать соответствущие органы при выработке тех или иных защитных мер. Собственно, ничего нового в этом алгоритме нет и он применяется и сейчас, только вот про интересы личности и общества все почему-то забывают. А именно эти интересы были поставлены Рыжовым Ю.А. во главу угла.


Из интервью Рыжова Ю.А. на Радио Свободы в январе 2003-го года: "Я выступал как председатель Комиссии Верховного совета СССР по разработке концепции национальной безопасности и говорил, что нам в первую очередь нужно обеспечить следующую иерархию безопасности: безопасность и права личности, потом общества и потом государства при условии, что оно обязано служить людям и обеспечивать две эти первые безопасности. Это была первая парадигма, которая ставила все с головы на ноги, потому что предыдущие столетия эта парадигма была иная: живет государство - и оно является главным".

Среди других ее результатов - принятие закона "О безопасности", а также четкое деление вопросов безопасности на внешние и внутренние. К сожалению, в области ИБ мы только сейчас стали задумываться о внешние киберугрозах, кибервойнах и т.д. И то, дальше мыслей дело пока не сильно идет.


В июне 2011 года Юрий Рыжов в интервью журналу "Эхо России" так писал про период работы своей комиссии: "Я примерно с 90-го года заболел проблемой национальной безопасности моей страны. Когда-то с согласия Горбачева, а потом по его поручению я возглавлял комиссию Верховного Совета по разработке Концепции национальной безопасности. Мы хотели перевернуть советскую и Победоносцева, обер-прокурора Синода, который в период «подморозки» Александра III провозгласил православие, самодержавие и народность... а у нас было сказано: государство, общество, а только потом – человек. Мы старались перевернуть эту парадигму в обратном направлении: главное – безопасность личности, второе – общества, третье – государства, и лишь в том случае, если оно обеспечивает две первых. За последние 20 лет, с тех пор, как я увлекся этой безнадежной задачей, все вернулось. Только вместо Победоносцева некий Сурков теперь выступает, такие лица".

Если бы тогда идеи Рыжова были приняты, кто знает, как бы сейчас развивалась отрасль ИБ в России. Хотя, попытки переломить ситуацию нашими регуляторами (как минимум ФСТЭК) предпринимались (я про это писал тут и тут). Но безуспешно. Сама комиссия Юрия Рыжова была закрыта Язовым и Крючковым, позже прославившимися в рамках ГКЧП. Примечательна цитата председателя КГБ Крючкова - «Все хорошо, все разумно, но концепция комиссии Рыжова — это для будущего, а нам нужно работать здесь и сейчас. Поэтому следует принять срочно нашу концепцию». С этой концепцией мы все знакомы:


И с 90-го года ситуация поменялась мало; разве что о безопасности детей (личности) стали говорить в последнее время. Хотя пока дальше слов дело тоже не сдвинулось. А может и к лучшему, что не сдвинулось...

19.6.12

В России еженедельно принимается один НПА в области ИБ

Готовил тут презентацию на тему "Эмиграция, как способ решения насущных проблем ИБ в России" для одного непубличного мероприятия. И в рамках подготовки провел экспресс-анализ нормативных актов, которые были приняты (или были опубликованы их проекты) за последний год (с июня 2011 года). Статистика получилась занятной.

Во-первых, оказалось, что в среднем нормативные акты, касающиеся вопросов ИБ, выпускаются по одному каждую неделю. И это при том, что еще пару-тройку лет назад было сложно представить себе такую частоту выхода нормативки по ИБ.


Из этих нормативно-правовых актов (НПА) уже принято 38 документов, а 23 только готовятся к принятию. И это непоследние изменения, которые будут происходить на регуляторном поле. Могу скромно предположить, что к концу года число проектов будет увеличено до 30-35.

И статус этих документов далек от рекомендательных - регуляторы разных мастей стараются придать им характер обязательных.

Как ни странно, но основным инициатором различных нормативных актов у нас является Минкомсвязь (для меня это тоже оказалось сюрпризом, если честно).На втором месте (если не считать Президента, как субъекта законодательной инициативы) заслуженно находится ФСБ и Правительство. ФСТЭК  замыкает пятерку лидеров.

Разный уровень инициаторов определил и разный тип НПА - от распоряжение Правительства или поручение Президента до информационного сообщения или приказа.
 

Больше всех под недремлющее око регуляторов попадают участники операторы связи, госорганы и участники НПС, а также банки и ТЭК. Акцент на операторах связи - это тенденция именно последнего года-двух. Урок арабских весен не прошел даром и власти хотят иметь рычаг управления (или давления) на отрасль, которая позволяет десяткам миллионов граждан быстро обмениваться различной информацией, в т.ч. и негативного характера.

Вот такая интересная статистика. Сейчас добавляю в анализ показатели по предыдущим годам (начиная с 92-го) и тогда можно будет уже с цифрами в руках говорить о тенденции, о которой я упомянул вчера.

18.6.12

Два взгляда ЦБ на управление рисками ИБ в НПС

ЦБ опубликовал еще один непростой документ в части выполнения требований ФЗ "О национальной платежной системе". Это Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах (№379-П от 31 мая 2012 года). Я про него уже упоминал вскользь, делясь магнитогорскими впечатлениями. И вот документ из недр Департамента регулирования расчетов родился и даже был принят быстрее проектов ЦБ с требованиями по защите НПС (хотя тут все понятно - 379-П не надо согласовывать с ФСТЭК и ФСБ).

Документ вызвал у меня двойственные чувства. С одной стороны все правильно написано - риски, риск-ориентированный подход, определение приемлемых рисков, непрерывность бизнеса... Но сразу возникает закономерный вопрос - а как 379-П соотносится с проектами по защите информации в НПС? Это документы, которые выпущены одним регулятором, касаются одной темы, но написаны совершенно различным языком. Как будто авторы были с двух разных планет. В целом подход ДРР мне ближе, но документы ГУБЗИ привычнее.

Первый говорит о том, что оператор платежной системы должен провести анализ рисков, определиться с уровнем их приемлемости, самостоятельно выбрать меры для достижения или поддержания этого уровня  Второй начинает примерно с этого же - оператор должен проанализировать угрозы, а потом выбрать защитные меры... но уже из готового списка. Никакой самодеятельности. Никакого принятия рисков (например, отсутствия сертифицированных средств защиты). Все четко и никаких рассуждений. ГУБЗИ все уже решил за операторов НПС, согласовал с регуляторами и зафиксировал в своих документах. Риск-ориентированный подход ДРР совершенно иной - он отдает принятие всех решений на откуп оператору НПС, обрисовывая только общий подход Писать такие документы проще, выполнять тоже, контролировать сложно, т.к. отсутствуют четкие критерии оценки (оператор их выбирает самостоятельно). С другой стороны - это яркий пример дерегулирования отрасли и возможности самостоятельного принятия решений участниками НПС при держании руки на пульсе со стороны отраслевого регулятора.

И как совместить эти два подхода при управлении рисками ИБ в платежной системе? Очень непростая ситуация... Посмотрим, что будет дальше. По словам представителей ЦБ сейчас основная задача - выпустить документы к 1-му июля, чтобы потом их можно было уже обсуждать, оценивать правоприменение и вносить поправки.

Утверждено новое ПП-584 о защите НПС

Премьер-министр Медведев подписал 13-го июня постановление №584 "Об утверждении Положения о защите информации в платежной системе", которое вступает в силу с 1-го июля. По сравнению с проектом и его оценкой в Минэкономиразвития текст поменялся.

Во-первых, поменялось название - слово "национальной" исчезло. Пока сложно сказать, что стало причиной такого удаления, но я пока не вижу никаких проблем.Во-вторых, уменьшилось число пунктов - с 17-ти до 9-ти. Что-то понятно, что-то нет. В частности, из принятого документа исчез такой пассаж: "Требования по обеспечению защиты информации при осуществлении переводов денежных средств устанавливаются Центральным банком Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю (далее – требования по защите информации, установленные Банком России)". Фактически это ни на что не влияет - по ФЗ-161 Банк России и так устанавливает требования по защите, согласуемые с ФСТЭК и ФСБ. Но все-таки для того, чтобы переход к проектам ЦБ с требованиями по защите НПС были более логичным, правильнее было бы упомянутый пассаж оставить. Убрали упоминания лицензий ФСБ у контрагентов, приглашаемых для помощи в защите платежной системы, - теперь речь идет только о лицензиатах ФСТЭК.

Также в пункте, перечисляющим обязательные к применению типы средств защиты, убрали фрагмент "в том числе прошедших в установленном порядке процедуру оценки соответствия". Это позитивно. Детально требования к оценке соответствия будут прописаны уже в документах Банка России. Также убрали все требования к субъектам платежной системы, по сути все опять переложив на плечи агентов и операторов НПС.

Еще убрали все ссылки на Банк России, ФЗ "Об электронной подписи" и ФЗ "О персональных данных". Ну и вообще текст очень сильно подчистили и сократили. Если в проекте было 1760 слов, то в принятом варианте всего 482 - почти 4-хкратное уменьшение объема текста.

Ну и наконец, в проекте был такой фрагмент "Контроль и надзор за выполнением требований, установленных настоящим Положением, осуществляется Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их полномочий и без права ознакомления с защищаемой информацией в соответствии с законодательством Российской Федерации о государственном контроле (надзоре). Контроль за соблюдением требований по обеспечению защиты информации при осуществлении переводов денежных средств осуществляется Центральным банком Российской Федерации в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю." В итоговом документе осталось только "Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации". Скорее всего причина таже, что и во втором абзаце - это уже и так прописано в ФЗ "О национальной платежной системе".

Из интересного:
  • У оператора или агента платежной системы должно быть либо структурное подразделение, либо ответственный за ИБ сотрудник.
  • Включение в должностные инструкции сотрудников, имеющих доступ к платежной системе, обязательных требований по защите.
  • Моделирование угроз и анализ уязвимостей теперь обязательные не только для персданных, но и для защиты платежных систем.
  • Обязательное проведение анализа рисков и внедрение системы управления инцидентами.
  • Перечень типов СрЗИ достаточно традиционен - СКЗИ, СЗИ от НСД, антивирусы, МСЭ, IDS и сканеры безопасности.
  • Вызывал у меня вопросы пункт "обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования"; особенно применительно к ДБО и мобильным платежам. Очень уж много там непростых моментов.

15.6.12

Мастер-класс по моделированию угроз

На IT & Security Forum также проводил небольшой мастер-класс по моделированию угроз. Это скорее была попытка 8-мичасовой курс по этой теме уложить в 1 час, который я смог вырвать у организаторов. Поэтому многие конкретные темы остались за воротами, а я сконцентрировался на ключевых моментах, которые не стоит забывать, если моделирование угроз осуществляется не для галочки, а для реальной работы.

Напомню, что полная версия этого курса была выложена в блоге (часть 1, 2, 3, 4 и 5).

14.6.12

Новая порция поправок по линии ФЗ-152

Можно было бы назвать эту заметку "Гора родила мышь". Именно такое впечатление от подготовила проект поправок Правительства РФ к законопроекту "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных".

Собственно ничего нового в этом проекте нет - просто опять вытащили на свет злополучный и отнафталиненный законопроект 217355-4 (еще 2005-го года). Законопроектом предполагается внесение изменений в 18 законодательных актов Российской Федерации: в законы Российской Федерации «О реабилитации жертв политических репрессий» и «Об образовании», в Основы законодательства Российской Федерации о нотариате, федеральных законов «О прокуратуре Российской Федерации», «Об актах гражданского состояния», «О негосударственных пенсионных фондах», «О государственной дактилоскопической регистрации в Российской Федерации», «О государственной социальной помощи», «О государственном банке данных о детях, оставшихся без попечения родителей», «О Всероссийской переписи населения», «Об обязательном страховании гражданской ответственности владельцев транспортных средств», «О системе государственной службы Российской Федерации», «О связи» и «О лотереях», а также в Трудовой кодекс, Кодекс Российской Федерации об административных правонарушениях и Гражданский процессуальный кодекс.

Но ничего серьезного в законопроекте нет ;-( Было бы неплохо в явной форме зафиксировать мысль, что образовательные учреждения обрабатывают ПДн для реализации своей основной деятельности и без ПДн их деятельность невозможна, а следовательно никакого согласия на обработку ПДн школьников, абитуриентов, студентов, аспирантов и т.д. не требуется (в отличие от защиты ПДн и выполнения иных требования ФЗ-152). Получается парадокс. Школы берут у родителей согласие на обработку ПДн учеников. А если я не дам согласие? Школа откажется обучать моего ребенка? И тоже самое касается социальной помощи, ЗАГСов, НПФ, детей на попечении, ОСАГО, нотариусов и т.д. Но нет, мы опять выстраиваем формулировки так, что там сам черт ногу сломит, а уж про двойственности и тройственность формулироков и говорить не хочется.

В итоге, хотелось как лучше (я надеюсь на это), а получается как всегда. Может быть на этапе чтений в Госдуме ситуация поменяется в лучшую сторону.

13.6.12

4 сценария внедрения BYOD на предприятии

На IT & Security Forum в Казани читал 4 презентации, две из которых были посвящены теме мобильных устройств в деятельности организаций и, в частности, сценариям внедрения BYOD. Презентацию выкладываю.

9.6.12

Аттестация и ФЗ-152: мнение ФСТЭК

Неделя была очень насыщенной - две командировки, 4 перелета, 8 презентаций... Поэтому не было сил что-то писать. Да и сейчас нет. Осмысливаю впечатления от московского PHD и казанского ITSF. Поэтому эту рабочую неделю хочется закончить "позитивно" ;-)

Коллеги часто присылают мне различные интересные документы, письма, запросы регуляторов, выдержки из актов проверок и т.д. И вот новый "подарок" - письмо одного из региональных управлений ФСТЭК. Текст привожу полностью: "В соответствии с требованиями совместного приказа ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи России № 20 от 13.02.2008 "Об утверждении порядка проведения классификации ИСПДн", зарегистрированного в Минюсте России 3.04.2008 № 11462, по результатам анализа исходных данных (в том числе и по категории обрабатываемых ПДн) ИСПДн присваивается один из классов К1, К2, К3, К4.

ИСПДн, обрабатывающие ПДн, находящиеся в ведении органов государственной власти, считаются обрабатывающими государственный информационный ресурс и подлежат обязательной аттестации по требованиям безопасности информации независимо от присвоенного класса. Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов.
 

Аттестация информационных систем производится в соответствии с требованиями Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К 2002) и Положения о методах и способах защиты информации в ИСПДн, введенных в действие приказом ФСТЭК России от 5.02.2012 № 58".

Вот такие пироги. Госорганам стоит готовиться. Хотя они всегда попадали под требования СТР-К с аттестацией, но у кого-то были сомнения. Вот позиция регулятора.

В данном письме интересен и следующий фрагмент: "Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов". Он ну очень многозначителен. Если быть позитивным, то гласит он только одно - коммерческие операторы ПДн сами решают, как защищать ПДн и приказ 58 им не указ. Но эту позицию мы оставим до выхода новых документов ФСТЭК по защите персданных, которые планируются к июлю этого года.

5.6.12

В чем разница ИБ для традиционных ИТ и АСУ ТП

Наткнулся тут на старую картинку 2007-го года, показывающую разницу подходов в ИБ традиционных ИТ и АСУ ТП. С тех пор так ничего и не поменялось. Поэтому удивляет попытка некоторых вендоров предлагать свои традиционные решения для ИБ АСУ ТП в неизменном виде.


4.6.12

ФСБ покроет и СНГ

Премьер-министр Медведев подписал распоряжение Правительства РФ от 28.05.2012 №856-р "О подписании соглашения о сотрудничестве государств - участников содружества независимых государств в области обеспечения информационной безопасности".


Ключевые положения этого прелюбопытнейшего документа:
  • Сближение нормативной базы в области ИБ стран СНГ. Тут можно отметить, что законодательство Украины, Белоруссии, Казахстана и России (а именно эти страны, в основном, имеют более-менее развитое законодательство) не очень гармонизировано между собой. И кто должен пойти на уступки? Если пойдут наши соседи, то всем придется туговато. В то, что мы пойдем на уступки, я как-то не очень верю.
  • Развитие производства средств защиты. Не верю!
  • Разработка межгосударственных стандартов, совместимых с западными. Предполагаю, что речь идет о ISOшной серии. Хотя после того, как все забили болт на 455-е Постановление Правительства от 17.06.2010, а потом и на поручение Президента уже и не знаю. Может все просто ограничится принятием межгосударственных стандартов на базе ГОСТов, как это пытаются делать в том же ТК362.
  • Согласование порядка сертификации средств защиты и взаимное признание выданных в СНГ сертификатов. Очень будет интересно посмотреть на это. Хотя такая попытка взаимного признания сертификатов соответствия уже делалась - в рамках ЕврАзЭС и Евросоюза. Надо также отметить, что в данном распоряжении устоявшийся термин "оценка соответствия" опять вернулся к анахронизму в виде сертификации.
  •  Все остальное достаточно стандартно - повышение квалификации, обмен опытом, совместные симпозиумы, проведение исследований и т.д.
Распоряжение многоэтапное. На первом будет осуществлен обмен информацией, позволяющей на последующих этапах реализовать все заявленные инициативы. Соглашение бессрочное. Финансирование как государственное, так и внебюджетное. 

Хочу напомнить, что Россия уже пыталась сделать аналогичную попытку, но в рамках ОДКБ. Правда, пока видимых результатов нет. А может ее секретят?! Вполне допускаю, т.к. головным органом в сфере обеспечения информационной безопасности в рамках Организации Договора о коллективной безопасности от России назначена ФСБ. Предположу, что и для сотрудничества в рамках СНГ будет назначена она же. Хотя тут есть один нюанс. Соглашение подготовлено не ФСБ, не ФСТЭК, а Минкомсвязью.

ЗЫ. А может мы прости ищем черную кошку в темной комнате, когда ее там просто нет? Может мы слишком погрязли в теорию заговора? Может быть на самом деле все проще и Россия хочет объединиться со своими соседями в части не только военного сотрудничества, но и ИБ-сотрудничества и совместно противостоять мирового киберугрозе?

1.6.12

Почему СТР-К морально устарел?!

В среду меня неожиданно, в связи с отказом одного из докладчиков, коллеги из ФСТЭК попросили выступить на PHDays на их секции с интригующим названием "Почему госсекреты появляются в Интернете". Пришлось придумывать про что рассказывать и срочно ваять презентацию. Выбрал тему СТР-К, т.к. делиться деталями или недостатками СТР для публичной аудитории не совсем правильно (или совсем неправильно). Учитывая, что готовится новая версия СТР-К, старую версию можно было покритиковать, что я и сделал ;-)


Собственно, критика достаточно проста и понятна - СТР-К морально устарел. Все-таки с 2002-го года госорганы давно ушли вперед в части информатизации - стали применять Интернет, облака, мобильные устройства, аутсорсинг, Web-сайты и т.д. СТР-К, да и другие РД ФСТЭК 92-го года на все это ну никак не натягивается.