29.02.2012

Требования к разработчикам ДБО

В последнее время сдвинулся с мертвой точки такой непростой вопрос, как установка требований по безопасности не только для разработчиков средств защиты, но и для разработчиков прикладных систем, в частности систем ДБО. Об этом активно говорили на Магнитогорской конференции, называя низкую защищенность систем ДБО одной из ключевых причин хищений средств со счетов клиентов. В России сейчас формируются такие требования, которые установят для разработчиков ДБО единые правила, которые надо будет соблюдать для работы на рынке.

Но Россия тут не пионер. Одним из первых к этой теме обратился PCI SSC, который выработал определенные требования к разработке платежных приложений - стандарт PA DSS. Правда, подпадают под него далеко не все приложения, которые обрабатывают финансовые потоки. В т.ч. под него спокойно могут не попасть многие системы ДБО, особенно для юридических лиц, т.к. они не обрабатывают данные платежных карт. Но как основа для формирования собственных требований данный стандарт подходит достаочно неплохо.

Еще один интересный документ был опубликован совсем недавно - в январе этого года. Речь идет о Software Assurance Framework от BITS - подразделения по разработке технологических политик Financial Services Roundtable. Этот 53-хстраничный документ, который описывает целую программу защищенной разработки ПО для финансовых институтов. 8 частей этого документа охватывают все необходимые темы при разработке защищенных приложений:
  • Обучение и тренинги разработчиков
  • SDLC. Тема SDLC становится достаточно популярной в последнее время. И я про нее писал в блоге и в отдельной статье в "ИТ Менеджере". Эта же тема освещается и на специализированной конференции в России - SECR.
  • Моделирование угроз. BITS упоминает Microsoft STRIDE, хотя таких стандартов и рекомендаций существует десятки (я их рассматриваю в курсе по моделированию угроз). И писал про это недавно.
  • Лучшие практики программирования. Интересно, что BITS не выдумывает ничего своего, а отсылает к уже существующим практикам - OWASP Secure Coding Practices Guide, Department of Homeland Security Build Security In Portal, CERT Secure Coding, MSDN Security Developer Center и т.д.
  • Тестирование безопасности. Этот кусок очень неплохо расписан - упомянуты различные программные продукты, виды анализа кода и т.д.
  • Практика предварительного внедрения
  • Документирование. Раздел подробно описывает, какие документы должны сопровождать разработку и тестирование программного обеспечения.
  • Контроль пост-внедрения.
В приложении даны примеры программ трех обучающих курсов для разработчиков платежных приложений.

В качестве заключения хочу отметить, что разработчикам приложений (и не только финансовых) пора уже больше внимания уделять правилам защищенной разработки программного обеспечения. А клиентам могу посоветовать быть более требовательными при общении с разработчиками.

    27.02.2012

    Управление К предупреждает!

    Правоохранительные органы в последнее время активизировались на поприще информационных технологий. Помимо упомянутого вчера законопроекта и расширения деятельности Управления "К", Управление «К» МВД России запустило всероссийскую комплексную кампанию «Безопасный интернет», которая направлена на профилактику правонарушений в интернете, повышение безопасности и правовой защищенности граждан в глобальной сети.

    Один из ключевых элементов Кампании – выпуск брошюры «Управление «К» предупреждает: будьте осторожны и внимательны!» и лифлетов с советами о том, как уберечься от мошенничества в киберпространстве и в сфере высоких технологий. Скачать их можно на сайте МВД. На сегодняшний день там, помимо брошюры, выложено 4 лифлета:
    • вредоносные программы в Интернете
    • владельцам пластиковых банковских карт
    • пользователям Интернета
    • Телефонные мошенники.

    Помимо лифлетов и брошюры, Управление "К" запустило на youtube несколько роликов. Например, по безопасности в Интернет:



    или о телефонных мошенниках:



    PS. Кстати, Банк России также выпустил памятку "О мерах безопасного использования банковских карт".

    PPS. Для удобства размещения ссылок на эту кампания можно использовать кнопку для сайта.

    24.02.2012

    Почему госорганы не включают в плановые проверки?

    Вопрос о включении органов государственной власти и местного самоуправления в ежегодный план проведения плановых проверок в соответствии с Федеральным законом от 26.12.2008 № 294-ФЗ (в т.ч. и по линии Роскомнадзора) появляется регулярно. Оказывается есть старое письмо Минэкономразвития от 22 декабря 2010 г. № Д05-4778, в котором разъясняется, почему госорганы в перечень плановых проверок не включают.

    "Департамент развития малого и среднего предпринимательства Минэкономразвития России рассмотрел обращение о необходимости включения органов государственной власти и местного самоуправления в ежегодный план проведения плановых проверок в соответствии с Федеральным законом от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее - Закон № 294-ФЗ) и сообщает.
    Закон № 294-ФЗ регулирует отношения в области организации и осуществления государственного контроля (надзора), муниципального контроля и защиты прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля.


    В соответствии с ч. 3 ст. 1 Закона № 294-ФЗ его положения не применяются к мероприятиям по контролю, при проведении которых не требуется взаимодействие органов, уполномоченных на осуществление государственного контроля (надзора), муниципального контроля, и юридических лиц, индивидуальных предпринимателей.
     

    Согласно ст. ст. 124, 125 Гражданского кодекса Российской Федерации (далее - ГК РФ) в гражданских правоотношениях на равных началах с гражданами и юридическими лицами участвуют публично-правовые образования: Российская Федерация, субъекты Российской Федерации, а также городские, сельские поселения и другие муниципальные образования. К названным субъектам гражданского права применяются нормы, определяющие участие юридических лиц в отношениях, регулируемых гражданским законодательством, если иное не вытекает из закона или особенностей данных субъектов.
     

    От имени Российской Федерации и субъектов Российской Федерации приобретают и осуществляют имущественные и личные неимущественные права и обязанности, выступают в суде органы государственной власти в рамках их компетенции, установленной актами, определяющими статус этих органов. От имени муниципальных образований своими действиями могут приобретать и осуществлять вышеуказанные права и обязанности органы местного самоуправления в рамках их компетенции, установленной актами, определяющими статус этих органов.
     

    Таким образом, наделение органов государственной власти, органов местного самоуправления правами и обязанностями юридического лица означает лишь то, что нормы ГК РФ к ним применимы в части, касающейся осуществления ими хозяйственной деятельности, необходимой для реализации своих публично-правовых функций.
     

    Принимая во внимание вышеизложенное, считаем, что положения Закона № 294-ФЗ на отношения, связанные с проведением проверок деятельности органов государственной власти, органов местного самоуправления, не распространяются, в связи с чем указанные органы не подлежат включению в ежегодный план проведения плановых проверок, предусмотренный настоящим Законом.
     

    В соответствии с Положением о Министерстве экономического развития Российской Федерации, утвержденным Постановлением Правительства Российской Федерации от 05.06.2008 № 437 (далее - Положение), Минэкономразвития России является федеральным органом исполнительной власти, осуществляющим выработку государственной политики и нормативно-правовое регулирование в отнесенных к его ведению сферах деятельности. Вместе с тем согласно Положению Минэкономразвития России не является органом, уполномоченным осуществлять официальное толкование нормативных правовых актов.
     

    В связи с этим вышеизложенные разъяснения не являются обязательными для исполнения, а носят рекомендательный характер.

    Директор

    Департамента развития
    малого и среднего предпринимательства
    Н.И.ЛАРИОНОВА
    22.12.2010
    "

    Магнитогорские впечатления (часть 5)

    Ну и наконец, рассказ о магнитогорской конференции по банковской безопасности завершается тем, что происходило в течение всех пяти дней - культурной и спортивной программой. К сожалению, далеко не все, что было снято на камеру можно выкладывать в блог. По разным причинам ;-) Поэтому сосредоточимся на том, что можно ;-)

    Начнем с того, что было прохладно. Поэтому приходилось греться. Греться по разному. Напитками (но в меру)...


    Баней...



    Массовыми запевами в караоке, а также кулуарными песнями под гитару. Особенно последнее было очень зачетно. Репертуар был совершенно потрясающий - от "бременских музыкантов" и Окуджавы до комсомольских песен и песен из кинофильмов.

    Спортивная программа совершалась каждый вечер на горнолыжном склоне, аккурат над местом проведения конференции. Кстати место было замечательное (да и с погодой повезло)...


    Место катания тоже предложило трассы различной протяженности и сложности на любой вкус...



    Вид с горы открывается потрясающий на все 360 градусов...


    Отдохнуть после склона тоже было где. Особенно удачны были пельмени и глинтвейн...


    Никто не замерз, ног не ломал, на самолет не опоздал... Все остались довольны. Авангарду и тем кто, приложил руку к мероприятию, спасибо за замечательную организацию.


    До новых встреч!


    23.02.2012

    Магнитогорские впечатления (часть 4)

    Четвертый, последний день деловой программы конференции, был посвящен мобильным платформам и облакам в банковской деятельности. Модерировать эту секцию довелось мне.

    Начался день с выступления преставителя ФСБ, который рассказывал про облака и виртуализацию. Ничего нового в докладе не было - видимо ФСБ делилась результатами каких-то своих исследований, а точнее сделанного по материалам открытой прессы обзора угроз и механизмов защиты облаков и виртуализации. Никакой позиции ФСБ в докладе высказано не было. Более того, коллега из ФСБ видимо сознательно уходил от термина "публичные облака", концентрируясь на облаках частных. Но я человек дотошный и на правах ведущего задал несколько вопросов о том, как нейтрализовывать описанные угрозы при отсутствии адекватных сертифицированных СКЗИ. Что было сказано в ответ?.. Частично конфиденциальность частного облака можно решить и сейчас - на базе сертифицированных СКЗИ придется применять разные СКЗИ с разными ключевыми системами, что усложняет решение и создает дополнительные проблемы. На вопрос, планирует ли ФСБ разрабатывать нормативную базу для облаков и виртуализации последовал ответ, что такие работы на 2012-й год не запланированы.

    Вообще с представителями ФСБ на конференции я общался не раз. В кулуарах была поднята тема отсутствия сертифицированных СКЗИ для мобильных устройств, на что представитель ФСБ ответил, что это не совсем так и такие решения есть. Правда, называть их не стал. Возможно он имел ввиду решения "Кода безопасности", "Инфотекса" и С-Терры? Но они еще не сертифицированы. А для работы отечественных СКЗИ на iOS потребуется делать jailbreak, что вызывает вопросы в законности таких действий. На такое замечание, представитель ФСБ ответил: "А мы-то тут причем?" Действительно ни причем. Это проблема потребителя, который будет вынужден либо нарушать требования по криптографической защите, используя несертифицированные решения, либо нарушать лицензионные условия на мобильную платформу (причем после обновления iOS приходится вновь ее ломать, что не всегда происходит оперативно). Кстати, о требовании использования сертифицированной СКЗИ для мобильных платформ. На мой вопрос к сотруднику ФСБ о том, что по идее надо исходить из рисков и применять сертифицированные СКЗИ только там, где надо, последовал ответ, что ФСБ думает также и что у ФСБ нет документов, требующих использования сертифицированных СКЗИ на мобильных устройствах. Правда, когда я уточнил, что есть методичка ФСБ по персданным, где говорится только о сертифицированных СКЗИ, представитель ФСБ ответил: "Ну по персданным да, так оно и есть". И почти каждый ответ со стороны ФСБ завершался комментарием "А мы-то тут причем? Это вопрос к разработчикам, если они не могут разработать такое решение". В итоге четкого мнения регулятора по вопросу применения сертифицированных средств защиты так получить и не удалось. Но позиция их была озвучена четко - ФСБ не доверяет ни публичным облакам, ни мобильным устройствам.

    Кстати, после выступления ФСБ я провел блиц-опрос на тему "Кто из присутствующих использует или планирует использовать облака в своей практике?" Из 60 человек утвердительно ответили только 5 слушателей! После этого можно было бы и завершать тему облачных вычислений в банковской отрасли. Все последующие выступления если и касались облаков, то преимущественно частных. Мне понравились комментарии Oracle и IBM относитель применения публичных облаков у их клиентов. Oracle заявил, что публичные облака спросом у заказчиков из банковской сферы не пользуются; если не сказать больше. Максимум, на что готовы клиенты Oracle - облака частные. А IBM пошла еще дальше. Она и про частные облака сказала, что клиенты пока не готовы и большинство потребителей продукции голубого гиганта обращает внимание лишь на виртуализацию и консолидацию ресурсов. После выступления Андрея Степаненко о защите облаков, я задал ему провокационный вопрос, не планирует ли сама Информзащита перейти в облаков. Ответ был предсказуем - Информзащита не доверяет публичным облакам и не планирует туда переходить. Собственно, эта позиция была у всех выступающих. Висящий на языке вопрос, зачем предлагать защиту того, во что интегратор не верит и не рекомендует, я так и оставил незаданным ;-) Также как я не стал задавать всем вопрос о том, чем частное облако отличается от обычного ЦОДа, который есть у всех компаний. Мы бы погрузились в дебри терминологии, но судя по докладам далеко не все понимали, что же это за фрукт такой - облако.

    Андрей Бажин из Абсолютбанка, регулярно задававший неудобные вопросы выступающим, задал одному из докладчиков, представляющих очередное несертифицированное решение для защиты мобильной платформы, вопрос: "Почему интегратор продает решение по endpoint security, а не по терминальному доступу?" Последнее решение должно быть не менее (а может и более) эффективным с точки зрения защиты, а по цене в разы дешевле лицензии на каждое мобильное рабочее место. Внятного ответа не последовало, но ответ был очевиден - прибыль для интегратора выше ;-)

    Доклад IBM был достаточно стандартным, но они единственные, кто упомянул среди угроз виртуализации аппаратные руткиты. Правда, на мой вопрос, как они борятся с этой угрозой, ответить не смогли. Также IBM была единственной компанией, кто сказала про риски использования социальных сетей и необходимость наличия политики их использования в корпоративной среде.

    Собственно на этом рассказ о деловой программе заканчивается. Описал я не все доклады - голую рекламу или прописные истины выкинул из повествования. Кому они интересны, милости прошу на сайт конференции, где уже выложили все презентации.

    ЗЫ. Завтра попробую сформулировать впечатления от культурной и спортивной программы, которые стали неотъемлемой частью форума по банковской безопасности, организованном компанией Авангард-Центр.

    22.02.2012

    Процедура изъятия серверов стала продуманнее

    В последние дни перед покиданием своего поста, Президент Медведев выпускает много разных поправок к действующим ГК, КоАП, УПК и т.д. В день влюбленных он тоже запулил в Госдуму очередную порцию поправок. На этот раз касающихся уточнения порядка изъятия в ходе расследования уголовных дел, особенно экономической направленности, электронных носителей информации (компьютерных блоков, серверов, ноутбуков, карт памяти), содержащих сведения о деятельности хозяйствующих субъектов, и порядка возвращения изъятых электронных носителей информации и (или) копирования содержащейся на них информации.

    Хотя внесенный законопроект отличается от того, что предлагали в РСПП и АПКИТ, и некоторые эксперты отмечают недостатки законопроекта, сделанные поправки все же облегчат жизнь тех организаций, которые попали под всевидящее око наших правоохранительных органов.

    Магнитогорские впечатления (часть 3)

    Продолжаем...

    Дистанционное банковское обслуживание

    Пожалуй, наиболее активным был день, посвященный ДБО. Оно и понятно. С хищениями средств сталкиваются почти все банки - это реальная угроза для банковского сообщества и гораздо более реальная (на данный момент), чем НПС или СТО. Поэтому и докладчики и слушатели были активны.

    Артем Сычев (Россельхозбанк) начал с того, что привел цифры. Средняя сумма покушения составляет около 400 тысяч рублей (для юриков). Стоимость же организации самой атаки - всего 30 тысяч рублей. В итоге злоумышленники всегда в выигрыше. Специализированные банковские ботнеты имеют средний улов в 20-40 тысяч аккаунтов ДБО, что позволило сделать о том, что проституция, наркотики и терроризм "отдыхают" по сравнению с хищениями в ДБО (то ли еще будет).


    При этом действующее законодательство находится на стороне преступников, а вступающий в силу ФЗ-161 "О национальной платежной системе" ситуацию только усугбляет, не только формируя ощущение безнаказанности у преступников, но и по сути узаконивая мошенничество. В пресловутой 9-й статье ФЗ-161 говорится о том, что по завялению клиента банк сначала обязан возместить ему потери, а потом уже доказывать, что виноват клиент. Представляете себе каким буйным цветом расцветет мошенничество в России? Пока действующее законодательство тоже не сильно помогает банкам. Например, хищения, как правило, происходят не там, где выводятся деньги. А по УПК дело возбуждается по месту вывода денег, а не их хищения. Это дает возможность следственным органам перекидывать дела между собой, что убийственно сказывается на результате действий банковских служб безопасности. Ведь деньги выводятся мобильно - за 2-3 часа. Судебное решение получить за это время нереально; как и осуществить коммуникации с коллегами. При этом атаки осуществляются преимущественно из регионов с большим количеством "зон". Деньги уходят в тюрьмы, в теневой бизнес, и вернуть их оттуда почти невозможно.

    Попытка самостоятельно решить эту задачу без привлечения правоохранительных органов обречено на неудачу. Расследование инцидентов и сбор доказательной базы - это задача не банка. Собранные им доказательства в суде разбиваются в пух и прах и могут быть
    признаны незаконно собранными, т.к. доказательства могут собирать только уполномоченные на это органы.

    Если раньше милиция не горела большим желанием заниматься киберпреступлениями, т.к. это портит статистику, то сейчас в МВД наметился сдвиг в решении этой проблемы. В частности, комитет АРБ по ИБ получил рекомендации МВД, адресованные Мошковым Тосуняну, по оформлению инцидентов с хищениями средства. Получить их можно через комитет АРБ по информационной безопасности. В них, в частности, говорится о том, какие документы нужны при разборе преступлений в отношении юридических и физических лиц.


    Проблема усугуьляется тем, что у киберпреступников создана целая индустрия; у банков - только разрозненные элементы, не объединенные целостной системой, включающей помимо служб безопасности, отраслевого регулятора, правоохранительные органы, центры обучения и т.д. Но поэтапное движение для решения проблем с ДБО уже началось. Как я уже писал в понедельник ЦБ на уровне надзора и регулирования платежной системы обратил свой взгляд на
    проблему и сейчас готовит свои предложения по данному вопросу.

    А пока суть да дело в АРБ создана группа по координации усилий банков и правоохранительных органов в решении проблем с хищениями в ДБО. Находится она в процессе становления, но уже сейчас в нее входит 123 банка, взаимодействующих по различным вопросам мошенничества.

    Без такого взаимодействия действия отдельных банков обречены на неудачу. Ведь атака обычно идет через цепочку банков (в одном похитили, в другой перевели). Поэтому в одиночку противостоять проблеме нереально. Даже упавшие на счет дроппера (мула) деньги по Гражданскому Кодексу принадлежат клиенту и банк не имеет права ими распоряжаться по своему усмотрению; а факт воровства надо доказать. Когда же доказательства получены, то обычно деньги уже выведены (как я написал выше на это уходит всего несколько часов). Оснований же для приостановления платежа у банков нет - инструкций и разъяснений ЦБ на эту тему пока нет. Некоторые банки блокируют перевод средств под соусом 115-ФЗ, но на это идут не все.

    Ситуацию осложняет то, что часто вывод денег осуществляется через мобильных операторов и системы мгновенных платежей (например, Юнистрим), с которыми тоже нужно взаимодействовать. А пока, как было сказано на конференции, из большой тройки только Билайн и МТС озабочены данной проблемой и пытаются бороться с ней.

    Как сказал председатель Нацбанка Башкирии Марданов Р.Х., основная причина хищений - недостаточная защищенность ДБО. Причем подвержены атакам и уязвимостям все типы ДБО - и "тонкие" и "толстые" клиенты. Об этом говорят и последнее исследование Digital Security и webinar'ы Positive Technologies. Производители же ДБО игнорируют эту проблему и считают, что их это не касается. Им пора уже задуматься! Сейчас формируются стандарты и требования для разработчиков платежных приложений в части ИБ, которые позволят унифицировать рекомендации не только в части повышения защищенности ДБО, но и сформируют единый набор требований к системе сбора доказательств, которые должны будут фиксировать системы ДБО.


    3 главных угрозы ДБО - кража ключей электронной подписи, удаленное управление пользовательским компьютером без ведома владельца и подмена/модификация платежных поручений.Для нейтрализации этих угроз на конференции представлены были различные решения - TrustScreen, MAC-токены, QR-мидлеты и LiveCD/LiveUSB. "Актив", Аладдин Р.Д., VASCO, Бифит, С-Терра представляли все из них. Интересно, что о TrustScreen'ах - доверенных средствах отображения подписываемых платежных документов заговорили на прошлогодней конференции и вот уже сейчас рабочие решения были представлены потребителям.

    Немного с другой стороны проблему показал Дмитрий Кузнецов из Positive Technologies. В своей презентации он высказал идею о том, что хакеры атакуют клиентов, что дает повод банкам думать о своей защищенности. Это не так! Банки занимаются только теми угрозами, с которыми реально сталкивались (вспомните мою заметку о психологии восприятия рисков). Кстати, Positive Technologies представила и свой сервис SurfPatrol для бесплатного анализа защищенности клиентских рабочих мест ДБО. Я про этот сервис уже писал. Иван Янсон из Промсвязьбанка продолжил тему, начатую предыдущими коллегами, и рассказал о том, как они борятся с хищениями. По мнению Янсона наиболее надежный превентивный способ - мониторинг истории платежей и контроль новых получателей, ранее незанесенных в предварительный список одобренных получаталей платежей. К другим способам можно отнести контроль аномалий платежа (некоторые АБС имеют такой функционал) и контроль изменений программной среды совершения платежа (например, смену IP-адреса, местоположения, браузера, версии ОС и т.п.).

    Вот так примерно выглядел третий день деловой программы конференции.

    ЗЫ. Завтра поговорим о мобильных устройствах и облаках в банковской деятельности.

    21.02.2012

    Награда нашла своего героя - 2

    В Магнитогорске вручили мне диплом АРБ "За большой вклад в развитие безопасности банковской системы России".



    Магнитогорские впечатления (часть 2)

    Продолжаем...

    Национальная платежная система, СТО БР ИББС и стандартизация ИБ

    Тему НПС стартовал Курило Андрей Петрович. Его идея, которая была позже поддержана другими выступающими, звучала примерно так - добровольное принятие национального стандарта и тем более стандарта организации не очень эффективно; нужны нормативные акты прямого действия, которые не рекомендуют, а обязывают банки выполнять требования по безопасности. В целом ситуация напоминает PCI DSS, который долгое время был стандартом, за невыполнение которого не следовало никаких санкций. Обработчикам платежных карт дали время проанализировать стандарт, поизучать его, а потом сделали его обязательным и ввели систему наказаний. Кстати, наказания есть и в России. Правда, не в виде штрафов (не многие банки напугает сумма в 25 и даже 50 тысяч долларов), а виде отказа в запуске новых проектов (например, по электронной коммерции) или в виде отказа от присоединении новых ассоциатов.

    С НПС ситуация аналогичная. СТО известен уже давно и банки могли его вдоволь изучать. Но даже "письмо шести" не смогло заставить все банки начать активно внедрять СТО в своих организациях. Одно дело объявить о присоединении и другое - реально выстраивать процессы управления ИБ. Поэтому ведущиеся давно разговоры о придании СТО статуса обязательного к применению документа получили свое развитие в национальной платежной системе. Положения СТО войдут в обязательные к применению нормативные акты ЦБ, которые последний должен разработать в рамках закона об НПС.

    Но в рамках НПС ЦБ пошел еще дальше. Будет разработана не только единая система требований по ИБ и система оценки соответствия, но и единая система составления отчетности по вопросам ИБ, тесно увязанная с уже существующей в банках системой отчетности. В целом, в дополнение к Постановлению Правительства по защите информации в НПС (ФСБ его тоже согласовала), ЦБ разработает еще 3 более конкретных документа - по требованиям по защите в НПС и по контролю за соблюдением требований и составлению отчетности в ЦБ. Готовится НПА ЦБ о порядке предоставления отчетности в рамках НПС. И вот тут я не до конца понял. То ли вопросы отчетности по ИБ войдут в это положение, толи в положение по оценке соответствия. А может и вообще обновят указания Банка России 1375-У и 2332-У.

    В выступлении Харламова В.П. и Выборнова  А.О. из ГУБЗИ детализировались требования готовящихся в ЦБ документов. Например, при подключении к международным платежным системам можно будет следовать требованиям оператора такой системы. Этот пункт сейчас активно обсуждается со всеми заинтересованными лицами. Как и вопрос о возможности использования ЛЕГАЛЬНО ввезенных СКЗИ, а не только сертифицированных. В принципе это и сейчас по закону возможно, но многие банки всегда переспрашивают, пытаются наводить справки и т.д.


    Требования по оценке соответствия и отчетности будут отдельными для кредитных и некредитных организаций. К последним относятся платежные системы типа Яндекс.Деньги, операторы связи со своими мобильными платежами и т.п. Всего же в России около 70 платежных систем. К кредитным организациям, кстати, относятся все банки. Поэтому тем, кто принял СТО будет проще, чем тем, кто присматривается к нему или полностью от него отказался. Сейчас этот фокус уже не пройдет и "чаша сия" не минет ни один банк. Оценка соответствия требованиям ИБ в НПС будет осуществляться один раз в 2 года. Вопрос о контроле (кто надзорный орган) за некоммерческими организациями в рамках НПС остается открытым


    После ГУБЗИ выступал г-н Тамаров из департамента регулирования расчетов, который заявил, что есть разные подходы к регулированию НПС и подход ГУБЗИ - один из возможных. Я так понял, что у ДРР свой взгляд на этот вопрос, в котором они пока с ГУБЗИ не сошлись. Вообще выступление Тамарова вызвало у меня двойственное мнение. Некоторые его высказывания для меня остались совсем непонятными. Например, ДРР хочет разработать требования к оценке бесперебойности функционирования платежной системы и наказаывать за их несоблюдение. Но разрабатывать конкретные показатели, которые не должны нарушаться (например, время восстановления, время простоя и т.д.) ДРР не хочет. Как тогда оценивать?

    На вопрос из зала, когда все документы ЦБ по НПС должны быть готовы, Андрей Выборнов сказал, что, учитывая сложившуюся практику выпуска, согласования и подписания документов в Банке России, то не раньше конца года. На что Конторович заметил, что закон об НПС вступает в силу с 1-го июля и к этой дате должны быть приняты все нормативные акты ЦБ. Так что четкого ответа нет - возможно, что правильный ответ где-то посередине.


    Также пока нет четкого ответа на вопрос о судьбе PCI DSS в контексте СТО и НПС. Пока речь идет о том, что локализованный и согласованный вариант PCI DSS будет принят в России как НПА ЦБ, но не в виде прямого применения, а путем заимствования ключевых его положений и включения их в одну из РС (рекомендации по стандартизации) в СТО БР ИББС. Но важны не сами требования, а оценка их соответствия. На это последовал ответ, что в СТО будет вероятно прописана норма о том, что оценка соответствия по PCI DSS должна проводится в соответствии с требованиями PCI Council (т.е. QSA/ASV), но дополнительно прорабатывается вопрос о взаимодействии PCI SSC и АБИСС. Как я понимаю, если члены АБИСС получат статус QSA, то у них появится уникальная возможность проводить аудит сразу по двум стандартам - СТО и PCI DSS.

    Отдельно стоит рассказать о направлении стандартизации банковской безопасности. Я об этом уже писал, но тут появились новые детали. Во-первых, созданный в прошлом году ТК122 имеет большие планы по стандартизации банковской безопасности. Причем делаться это будет как самостоятельно, так и в альянсе с другими ТК - особенно ТК26 по криптографии, которым рулит ФСБ. Кстати, в выступлении Королькова из ФСБ прозвучало, что ТК26 подготовил кучу рекомендаций по стандартизации криптографии и сейчас их активно согласовывает со всеми заинтересованными сторонами. В частности, планируется замена ГОСТ Р 34.10 и 34.11 новыми, усиленными вариантами действующих редакций стандартов по хэшу и ЭЦП. В области международной стандартизации ТК26 вместе с RSA работал над PKCS#11, 12 и 15. Активно помогало им и ОАО "УЭК". Правда, попытки России пропихнуть наши ГОСТы на уровне ISO провалились; как и попытки впрямую использовать стандарты ISO по криптографии в России (по словам Королькова опыт был неудачный).

    Несмотря на большую роль ТК122, пока он действует не очень активно, что связано с активизацией работ по разработке нормативной базы для НПС. По этой же причине пока не опубликована РС 2.5 по разделению ролей и полномочий. Как только 3 упомянутых выше положения будут разработаны, так сразу активизируется и ТК122. В частности, статус СТО в 2012-м году будут менять; из стандарта организации он превратится в национальный стандарт (ГОСТ Р) по ИБ финансовых операций. Также в 2012-м будут разработаны ГОСТы по терминологии платежных систем, управлению сертификатами для финансовых услуг, а также ГОСТ по универсальной схеме финансовых сообщений.

    Завершал эту тему Павел Гениевский из АБИСС (кстати, сайт АБИСС обновили недавно). Он поделился результатами деятельности за год и рассказал о планах АБИСС. Идея ассоциации проста  - стать системой "одного окна" для  банков при общении с регуляторами. АБИСС также поделилась предварительными результатами опроса, который стартовал в январе этого года и который должен показать текущий статус и отношение банков к ИБ и СТО. Сам отчет будет опубликован АБИСС, а пока только некоторые озвученные Гениевским предварительные результаты:
    • 47% банков России имеют бюджет менее 3% от бюджета ИТ. У 24% бюджет от 5 до
      10% от бюджета ИТ.
    • Большинство банков хочет, чтобы СТО стал обязательным.
    • 45% банков имеет всего одного сотрудника ИБ.
    • Средняя зарплата безопасника в банке выросла (цифры на слайде были маленькие и из зала не очень видные).
    • 67% банков провело оценку соответствия СТО в 2011-м году, что связано было с "письмом шести".
    • 71% банков делали оценку самостоятельно. К ним у РКН большинство вопросов из-за
      переоценки своего уровня.
    • 6% банков вообще не планируют применять СТО, но от НПС им не уйти.
    • 40% банков ввобще не проводили ни разу оценку рисков (!).

    ЗЫ. В связи с выходом постановления о лицензировании ТЗКИ, вопрос получения банками лицензий ФСТЭК вновь стал актуальным. Подход ЦБ об отсутствии необходимости  получения банками лицензий ФСТЭК пока остается неизменным, но в связи с изменениями формулировок в новом постановлении вопрос пока остается открытым. Я задал вопрос и ЦБ и ФСТЭК и получил ответ, что сейчас идут активные обсуждения этой темы.

    ЗЗЫ. Завтра будет рассказ про ДБО.

    20.02.2012

    Магнитогорские впечатления (часть 1)

    Недельное отсутствие в блоге буду возмещать рассказом о посещении уральского форума по информационной безопасности банков, на котором прозвучало немало интересного, как с точки зрения практических вопросов обеспечения ИБ в банках, так и с точки зрения регуляторики. Для тех, кто следил за моими твитами, ничего нового, скорее всего, не будет. Я просто аккумулирую все в более удобном для чтения виде и добавлю свои комментарии к тем или иным фактам и заявлениям.

    Но начну с общего впечатления - оно более чем позитивное. И деловая, и культурная, и спортивная программа были на высоте. Каждый мог найти то, что ему было по душе. Деловая программа была, например, поделена на 4 больших блока - по одному дню на каждый - национальная платежная система, СТО БР ИББС, ДБО и мобильный доступ + облака. Доклады тоже достаточно четко делились на 3 категории - регуляторы, банки и спонсоры. Первые говорили о тенденциях и статистике, вторые - о практике решения наболевших вопросов, третьи - втюхивали (как сказал один из споноров) свои продукты и услуги. Кто втюхивал что-то новое, кто-то вещал о том же, что и год-три назад.

    Регуляторика

    Началось все с Тосуняна, который сделал вводное выступление, поделился статистикой и наметил некоторые общие вопросы, которые предстояло решать в течение 4-х дней. За ним выступал первый зампред ЦБ Конторович. Он заявил, что на днях у Игнатьева (председатель ЦБ) было совещание всего руководства ЦБ по поводу воровства денег со счетов клиентов, а это значит, что ЦБ наконец обратился к этой теме и будет стараться ее решать в той или иной степени. Основная проблема, которая сейчас стоит перед отраслевым регулятором, по словам Конторовича, на кого переложить затраты на решение проблемы хищений средств. ФЗ-161 (об НПС) позволяет возложить эту задачу, в зависимости от трактовки, как на банки (но тогда могут возрасти ставки по кредитам, а их объем может снизиться), так и на клиентов (тогда клиенты меньше будут пользоваться банковскими услугами). В целом непростая задача...

    После Конторовича выступал Шередин из Роскомнадзора. Очень достойное выступление. Сначала он вкратце коснулся изменений в июльском ФЗ о персданных, а потом сделал ряд интересных заявлений. Во-первых, с целью интенсификации проверок в условиях нехватки собственных ресурсов РКН начал привлекать сторонних экспертов. В реестре таких компании уже 4 компании - все из Москвы. Надо заметить, что появились и первые вопросы к данной инициативе РКН. Прошла всего неделя с момента ее анонса, поэтому пока рано делать выводы о том, как она будет работать, но пока выглядит все это не очень понятно. Лично меня смущает, что в списке экспертов числится топ-менеджмент одного из интеграторов по ИБ - что-то я не очень верю, что они будут ездить на проверки. Ну да ладно, посмотрим...

    Во-вторых, Шередин повторил тезис о том, что они ЗА принятие СТО банками, но... по словам представителя РКН банки зачастую завышают уровень своей самооценки. При этом 72 банка, присоединившихся к СТО, уведомление в РКН не посылало - это недопустимо, по мнению РКН. Из наиболее популярных нарушений банков (в этом году Шередин имен не называл) - несоблюдение конфиденциальности ПДн, отсутствие списка лиц, допущенных к обработке ПДн, рассылка рекламы в нарушении ст.15 ФЗ-152.

    Очень интересным мне показалось мнение РКН о том, что при привлечении рекламных компаний для рассылки рекламы от имени банка, именно на банк возлагается ответственность за проверку источника получения рекламщиками базы для рассылки. на мой взгляд - это в корне неверная позиция. Банк не может нести ответственность за действия своих контрагентов. Если у РКН есть претензии к рекламным компаниям, то пусть инициируют проверки - закон и административный регламент им сейчас это позволяют. Требовать же держать ответ от банка нелепо.

    3 банка отказались предоставлять сведения РКН во время проверки, ссылаясь на банковскую тайну, что не помешало РКН выписать предписание об устранении нарушений и направить материалы в прокуратуру. Также Шередин высказал хдравую мысль, что получать унифицированное и общее согласие клиента банка на обработку его ПДн некорректно, т.к. нарушает принцип целеполагания. По мнение РКН согласие должно быть дифференцированным. Берет клиент кредит - согласие должно быть на обработку ПДн в целях получения кредита, а не, например, рассылку рекламы. Сослался Шередин и на 115-ФЗ, как хороший пример, когда ПДн можно обрабатывать без согласия (в ряде случаев). Дальше была вообще революция - РКН не имеет претензий к банкам, передающим ПДн коллекторам в рамках цессии. Но только в рамках именно этой формы общения с коллекторскими агентствами. Если же речь идет об агентском договоре, то будьте добры получить согласие. В целом мне выступление Шередина понравилось - четко и по делу.

    Потом выступал Куц из ФСТЭК. Зачитал приветствие от Селина, а потом пару слов сказал о персданных. Новые Постановления Правительства по ПДн будут готовы в мае. От себя добавлю, что таких Постановлений будет 3 и за их разработку ответственным назначена ФСБ, а не ФСТЭК. Корольков (ФСБ) отделался общими словами. Заявленный БСТМ так, к сожалению, и не приехал. Видимо готовятся к реорганизации - 10 февраля Медведев на коллегии МВД высказал идею о том, что полиции надо расширять свое присутствие в сфере высоких технологий и активнее бороться с киберпреступлениями, для чего на базу Управлений "К" будут создаваться новые подразделения.

    На этом пока все. Завтра продолжу про НПС и СТО.

    ЗЫ. Кстати, участников было в этом году больше, чем в прошлом. Правда и интеграторов тоже стало больше. Одного заказанного чартерного самолета на 210 мест на всех не хватило.

    ЗЗЫ. Презентации будут выложены в обозримом будущем на сайте конференции.

    13.02.2012

    Ушел на базу

    Уехал в Магнитогорск на конференцию по банковской безопасности!
    Если там будет Интернет, то репортаж с конференции будет вестись в Твиттере!

    10.02.2012

    МинОбороны РФ разработало стратегию кибервойны

    Мы (включая меня) все время критикуем Россию за отсутствие стратегии ведения кибервойн.Однако в конце прошлого года отечественное Министерство Обороны (кто бы мог подумать, что это будут именно они, а не Совет Безопасности или ФСБ) выпустило знаковый документ под названием "Концептуальные взгляды на деятельность Вооруженных Сил Российской Федерации в информационном пространстве".

    Как написано в преамбуле "Настоящие Концептуальные взгляды раскрывают основные принципы, правила и меры доверия, в соответствии с которыми Вооруженные Силы Российской Федерации используют глобальное информационное пространство для решения задач обороны и безопасности". Не буду глубоко анализировать этот документ, но могу сказать, что выглядит он достойно. Прописаны ключевые моменты того, что надо сделать (на высоком уровне; без детализации). Также прописаны и основные принципы противоборства в киберпространстве:
    • законность
    • приоритетность
    • комплексность
    • взаимодействие
    • сотрудничество
    • инновационность.
    При этом никакой наступательной или агрессивной идеи - одна оборона, сдерживание, разрешение конфликтов, попытки договориться, решить все мирным путем, не вмешиваться в дела других государств, взаимодействовать через ООН и другие международные организации. Прям пансион благородных девиц какой-то ;-)  Никакого сравнения с подходом США, которые позволяют себе отвечать физически на кибернападение. У нас правда есть схожий пункт "В условиях эскалации конфликта в информационном пространстве и перехода его в кризисную фазу воспользоваться правом на индивидуальную или коллективную самооборону с применением любых избранных способов и средств, не противоречащих общепризнанным нормам и принципам международного права". Но вот что-то я сомневаюсь, что даже такая расплывчатая формулировка разрешает бомбардировкой отвечать на вирусную атаку.

    Основаная проблема у этого документа - ни слова о его реализации. Да и вообще в Вооруженных силах уровень информатизации и уж тем более кибервоенных оставляет желать лучшего. Возможно в 2012-м году что-то изменится. Сейчас много говорят об этом на разных уровнях. Но если дистанцироваться от реализации стратегии МинОбороны, то складывается интересная ситуация. Россия активно критикует США за ее подходы в области ведения кибервойн, но сама прописывает почти аналогичные формулировки в своих документах. Россия постулирует принцип сотрудничества и доверия, но отказывается подписывать Декларацию о фундаментальных свободах в цифровой век и отзывает свою подпись под Будапештской конвенцией о борьбе с киберпреступностью. Слова расходятся с делами. А может быть причина в том, что сейчас наметился новый виток холодной войны между США и Россией, который некоторые эксперты окрестили как "Холодная война 2.0". Посмотрим, что из этого выйдет... пока мои прогнозы сбываются (за исключением российских Anonymous).

    09.02.2012

    Почему у многих чиновников почта на gmail?

    На днях я давал комментарий для одного издания по поводу взлома почты Якеменко и один из вопросов звучал примерно так - разве не странно, что российский чиновник переписку осуществляет через публичный сервис e-mail - mail.ru? Я решил развить эту тему здесь, но в более широком аспекте и посмотреть, почему чиновники используют не просто mail.ru или yandex.ru, а активно задействуют gmail.com и другие иностранные почтовые сервисы. Второй причиной, заставившей меня взяться за клавиатуру, стало заявление г-на Маркина из Следственного комитета, который сделал сенсационное открытие. Оказывается абсолютное большинство роликов, на которых зафиксированы нарушения на выборах, сфальсифициованы "вашингтоновским обкомом". Следствие установило, "что все видеоролики были распространены с одного сервера, который расположен на территории США, в штате Калифорния. В связи с этим в Следственном комитете принимаются меры к установлению авторов и заказчиков этих видеосюжетов". Это прорыв в расследовании. Правда, сервера youtube, на которых и были выложены все эти ролики, расположены в Сан-Бруно (Калифорния)... Но это мелочи. Вернемся к нашей теме.

    Почему же чиновники используют gmail? Вон, даже комитет Госдумы по безопасности и противодействию коррупции и тот использует адрес на Gmail. Я вижу несколько возможных причин:
    1. У чиновников просто нет официальной электронной почты. Вполне допускаю эту версию. Исходя из моего опыта общения с различными чиновниками - как в силовых структурах, так и в министерствах и Госдуме, адреса обычно есть для входящей почты и эти адреса групповые. А вот личных адресов, с которых можно было бы общаться с внешним миром, у чиновников нет. Иными словами, в госаппарате реализован механизм электронной канцелярии, когда, чтобы написать что-то вовне, надо направить это в канцелярию, а та направит это с группового адреса ведомства. А так как на практике этот механизм не работает (о какой оперативности и удобстве может идти в этом случае речь), то чиновники решают проблему коммуникаций самым простым путем - использованием внешних почтовых серверов.
    2. Чиновники боятся вести переписку с официальных адресов, боясь перлюстрации своей переписки DLP-решениями, которые используются в различных министерствах и ведомствах. И чиновникам есть, что скрывать. Достаточно вспомнить историю недельной давности о взломе почты Якеменко из Росмолодежи. В его почте нашли столько всего, что в любой демократической стране, чиновник, которого заподозрили хотя бы в половине того, что нашли у Якеменко, либо застрелился бы, либо ушел бы в отставку. Почта же на публичном сервисе трудно отслеживаема (так думает большинство неспециалистов).
    3. Третья версия конспирологическая и продолжает вторую. Чиновники думают, что используя внешние адреса, они всегда могут отказаться от своего авторства. Пример с Якеменко это опять подтверждает. Ни сам Якеменко, ни Росмолодежь так и не подтвердили факта принадлежности взломанной почты самому главе ведомства. А значит с чиновника и взятки гладки - всегда можно обвинить врагов в фальсификации переписки.
    4. Чиновники просто хотят удобно пользоваться электронной почтой и все попытки загнать их в жесткие рамки политик пользования e-mail, которые предпринимают ФСТЭК и ФСБ, приводят не к повышению защищенности средств коммуникаций чиновников, а к его снижению. Тут важную роль играет психология - жесткие запреты будут обходить и прогресс не остановить, как бы этого не хотелось нашим регуляторам в области ИБ.
    5. И последней версией будет та, которую озвучил г-н Маркин 4 февраля - это происки американской империалистической машины, которая пытается сбить Россию со своего особого пути к демократическим идеалам и одним из способов является подкуп и оппозиции и, как оказывается, чиновников, которые ведут переписку (в т.ч. и с элементами служебной тайны и персональных данных) через сервера, владельцем которых является американская компания Google - "известный" наймит американских спецслужб и противник демократии.
    Какая из версий верная, выбирать вам. Не исключено, что все они верны ;-)

    08.02.2012

    ФСТЭК определилась с тем, что такое ТЗКИ

    3-го февраля Правительство подписало Постановление №79 "О лицензировании деятельности по технической защите конфиденциальной информации", попутно отменив предыдущее 504-е свое Постановление.

    Если честно, то мне не совсем понятно упорство ФСТЭК, которая продолжает цепляться за термин "конфиденциальная информация", от которого законодатели постепенно отказываются. Ну нет такого понятия в законодательстве. Как лицензировать деятельность, которой нет? Не понимаю. Даже фрагмент попытка дать разъяснение в п.1 Постановления не очень удачная. Разъяснение дано в скобках - "(не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)", а не в виде отдельного определения. Считать, что это и есть определение КИ, - достаточно спорная позиция.

    Уточнился и термин ТЗКИ. Теперь ФСТЭК четко зафиксировала, что речь идет либо о выполнении работ по защите (а не какой-то мифический комплекс мероприятий из ПП-504), либо об оказании услуг; либо об обоих видах вместе. Причем в тексте нигде не говорится о собственных нуждах или об извлечении прибыли при выполнении работ. Тем самым ФСТЭК остается при своем мнении, что лицензия нужна всем, кто занимается контролем защищенности конфиденциальной информации или установкой средств защиты информации. А это, как мы помним, обязанность любого оператора ПДн, коих в России насчитывается свыше 5 миллионов (т.е. все юрлица и индивидуальные предприниматели).

    При этом эксплуатация СЗИ к лицензируемому виду деятельности не относится, что также подтверждает не раз высказанную позицию ФСТЭК. Правда, эта позиция вызывает вопросы. Если задача лицензирования - повысить уровень защищенности и ответственности тех, кто занимается защитой, то почему лицензируется только первые этапы в создании системы защиты - проектирование системы защиты и установка средств защиты? Почему ежедневная работа служб ИБ не подпадает под лицензирование? Ведь она не менее важна, чем и создание системы защиты? Логика регулятора для меня непонятна.

    Можно ли уйти от лицензирования деятельности по ТЗКИ? Если не играть в казуистику с отсутствием "конфиденциальной информации", то оснований теперь практически нет ;-( Рекомендации заключать договора с лицензиатами ФСТЭК, которые даются теми же представителями регулятора, неспособны решить проблему. Во-первых, у нас в России просто нет такого количества лицензиатов, которые могли бы покрыть потребности нескольких миллионов организаций. А во-вторых, договор с лицензиатом обычно заключается на определенный срок или на определенный объем работ. Внедрение системы защиты? Пожалуйста. Регулярный контроль защищенности? Пожалуйста. Но что делать, если у меня вышел компьютер из строя или появляется новый сотрудник и я должен поставить ему новый ПК со средством защиты? Это уже установка СЗИ, т.е. лицензируемый вид деятельности. А т.к. он не предсказуем, то и привлечь лицензиата мы заранее не можем. В итоге мы приходим к тому, что лицензия должна быть все равно у всех.

    Какие последствия могут быть у данного Постановления? Сложно предсказывать. При неизменности позиции ФСТЭК большинство организаций как не приобретало так и не планирует приобретать лицензии на деятельности по ТЗКИ. Наказаний по данной статье по линии ФСТЭК нет и что-то я не верю в то, что она будет отстаивать свою позицию в суде на регулярной основе. Да и суды по разному трактуют эти нормы. Статьи КоАП за отсутствие лицензий также могут отменить (я писал про это тут и тут). Правда, останется 19.20 КоАП и 171 УК.

    В итоге все как в поговоре - "строгость наших законов компенсируется необязательностью их исполнения". Каждая организация должна для себя принять решение - получать такую лицензию или нет.

    Почему не работают политики ИБ, а также наказания за их нарушения?!


    Наказание за нарушение ФЗ-152 хотят увеличить. Но это мало кого пугает - на различных мероприятиях по ИБ я регулярно слышу, что люди устали от темы ПДн. Столько лет мусолить тему защиты прав субъектов ПДн и самих ПДн и вот результат - всем по барабану на это важнейшее направление в области защиты информации. С внедряемыми политиками ИБ на предприятии ситуация аналогичная - написано их много, а работает их мало. Даже наказания мало кого пугают (хотя по линии ИБ наказаний-то почти и нет - так одни страшилки без реального применения).

    И вот вчера, в самолете, я прочел заметку "Праздник непослушания". Автор - Лидия Матвеева, профессор факультета психологии МГУ, доктор психологических наук. Она объясняет, почему так происходит. Просто выполнять какие-либо требования некому! У нас исчезла традиция законопослушания. Свобода, как вседозволенность, преподносимая СМИ последние пару десятилетий, негативно сказалась на молодежи и среднем поколении. Они становятся все более непослушными и дерзкими; запреты их раззадоривают (чем моложе, тем сильнее), а не пугают или загоняют в рамки. Тоже происходит и с более старшим поколением, в которое вбивались в советское время нормы законопослушания, но последние годы и они выветриваются.

    Что в итоге? Нежелание соблюдать любые нормы - в жизни, в работе. Хорошо, если это просто несоблюдение, которое не приводит к реализации той или иной угрозы. А если последствия несоблюдения норм более серьезны? Это же, кстати, является причиной и роста киберпреступности - нет боязни, нет разделения на черное и белое и есть задор. Результат специалистам знаком - рост киберпреступлений. А тут еще и неработающие статьи Уголовного Кодекса и не самое высокое желание правоохранительных органов в регионах заниматься расследованиями.

    Что делать, спросите вы? Увы, простого рецепта тут нет. Государство столько лет ломало выстроенную систему воспитания и обучения молодежи, что и возвращаться в правильное русло надо долго. Нужна государственная программа повышения осведомленности в области компьютерной безопасности, чтобы детей со школьной скамьи учили правилам компьютерной гигиены. На корпоративном же уровне необходимо уходить от системы наказаний за соблюдение правил и политик ИБ - нужно внедрять еще и систему поощрения. Иными словами система мотивации должна быть не только со знаком минус, но и со знаком плюс.

    ЗЫ. Попробуйте себе ответить на вопрос, как на вас повлияло увеличение штрафов за нарушение правил дорожного движения? Вы стали аккуратнее ездить и меньше нарушать? Или все осталось по-прежнему?

    07.02.2012

    Касперский сменил акционеров

    В прошлом январе Лаборатория Касперского продала часть своих акций американскому инвест-фонду General Atlantic. И вот спустя год, после сложных взаимоотношений российской (по сути) компании с американскими инвесторами, которые пытались навязать свою модель ведения бизнеса (не всеми признаваемую и разделяемую), Касперский выкупил все акции обратно. Наряду с этим событием видимо можно поставить точку и в вопросе, который задавался уже не раз - выйдет ли Касперский на IPO? Видимо пока руководством ЛК было принято решение о том, что в условиях непростой жкономической ситуации стоит с этим повременить. Может оно и правильно. Деньги на выкуп акций были?! Значит с финансами у компании все хорошо и смысла привлечения новых денег путем выхода на IPO или привлечения иных инвесторов, пока нет.

    Еще один проект Постановления Правительства одобрен МЭР

    1-го февраля на сайте Минэкономразвития появилось еще одно заключение об оценке регулирующего воздействия на проект постановления Правительства Российской Федерации «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».

    Это яркий пример того, как работает экспертиза нормативно-правовых актов со стороны Минэкономразвития. 27-го октября ФСТЭК направила в МЭР текста проекта Постановления. Т.е. проект был непрост, то Минэкономразвития объявила 23 ноября о публичных консультациях и заинтересованные лица представили 5 серьезных замечаний к тексту, предложенному ФСТЭК. Однако 12-го декабря ФСТЭК повторно представила в МЭР доработанную редакцию проекта, но... как оказалось без учета замечаний консультантом МЭР. 13-го декабря (по меркам отечественной бюрократии - это сверхсветовая скорость) было созвано рабочее совещание Минэкономразвития, ФСТЭК и ФСБ, на котором состоялись прения, стороны обменялись мнениями и, уже спустя 2 (!) дня (вот ведь живчики) ФСТЭК представила в МЭР доработанную редакцию проекта Постановления Правительства, в котором действительно были устранены все серьезные замечания.

    Из интересного - в заключении дана статистика по числу выданных лицензий ФСТЭК и ФСБ на разработку и производство средств защиты информации, а также статистика правонарушений в части нарушения лицензионных требований (около 2% по обоим регуляторам).

    Также впервые ФСТЭК указала, что такое квалифицированный персонал в области защиты информации. Если раньше считалось, что это либо человек, имеющий высшее образование по направлению "Информационная безопасность" или прошедший курсы повышения квалификации сроком не менее 72 часов, то сейчас эти требований будут зафиксированы в нормативном акте. Кстати, срок 72 часа увеличен до 100 аудиторных часов. Это, к слову сказать, 12.5 рабочих дней "от рассвета до заката", т.е. более двух полных недель на обучение.

    06.02.2012

    Новая редакция "письма шести"

    На сайте Банка России опубликована новая редакция "письма шести", о которой уже не раз упоминалось на различных конференциях и семинарах. Письмо подтверждает приверженность ЦБ и регуляторов на признание СТО БР ИББС как общего подхода по защите персональных данных в кредитных организациях. При этом новое "письмо шести" говорит и о том, что сейчас разрабатывается новая редакция СТО, учитываяющая последние изменения ФЗ-152, а также планируемые Постановления Правительства и нормативные акты ФСТЭК и ФСБ в части защиты персональных данных.

    Заключение Минэкономразвития на замену ПП-957

    Про новое постановление Правительства, которое придет на смену 957-му, я уже писал. Как и давал в Twitter ссылку на комментарии к нему со стороны "ОПОРЫ России", сделанные в рамках оценки регулирующего воздействий. И вот в пятницу на сайте Минэкономразвития появилось заключение и самого министерства на этот проект Постановления. Заключение МЭР внушает оптимизм и есть надежда, что Постановление поправят.

    Начало такое: "Согласно статье 2 ФЗ "О лицензировании отдельных видов деятельности" лицензирование осуществляется в целях предотвращения ущерба:
    • правам, законным интересам, жизни и здоровью граждан
    • окружающей среде
    • объектам культурного наследия
    • обороне и безопасности государства.
    Вместе с тем, Положением и пояснительной запиской ни одна из указанных целей лицензирования не установлена". Также МЭР добавляет, что "данных о количестве и характере правонарушений, связанных с нарушением лицензионных требований, разработчиком не предоставлено".

    Затем дается еще ряд замечаний по тексту Постановления, в т.ч. заменить 56 бит на 64 бита, добавить "mass market"-продукты, уточнить про лицензируемость распространения СКЗИ и т.д.

    Вывод МЭР таков: если сделанные замечания будут устранены, то проект нормативного акта не будет вводить избыточные административные барьеры и иные ограничения и обязанности на хозяйствующих субъектов.

    03.02.2012

    Verisign взломали

    Вот такие вот новости. Пока без деталей.

    01.02.2012

    И вновь об УЭК

    Про универсальную электронную карту я уже писал не раз. И вот пару недель назад на сайте Минкомсвязи была опубликована спецификация на УЭК, которая была согласована всеми сторонами. Интересен раздел 4.1.6 "Аппаратная поддержка криптографических алгоритмов". Согласно спецификации "интегральная схема карты должна иметь аппаратную реализацию на уровне криптографического сопроцессора:
    • вычислений для алгоритма RSA;
    • вычислений на эллиптических кривых для алгоритма ГОСТ Р 34-10-2001;
    • вычислений для алгоритма DES;
    • вычислений для алгоритма ГОСТ 28147-89;
    • вычислений для алгоритма ГОСТ Р 34.11-94".
    В разделе 4.4.3 по управлению контентом карты также говорится о RSA, 3DES и двух наших ГОСТах для DAP-верификации приложений на карте. В разделе 4.4.4 "Поддержка зарубежных криптографических алгоритмов" говорится только о 3DES, RSA и SHA1.

    ЗЫ. УЭК должна соответствовать ОУД4 и выше по "Общим критериям".

    Новая версия курса по персданным

    Вообще несмотря на отсутствие серьезных новостей в части законодательства по персданным, курс все равно обновляется и каждый раз появляется его новая версия, увеличившаяся слайдов на 15-20 (текущая версия 4.4 содержит уже 831 слайд).

    Новое в версии 4.4:
    • Планируемые изменения в части лицензирования отдельных видов деятельности по вопросам отмены наказания за отсутствие лицензий по защите информации
    • Реформа европейского законодательства по персональным данным
    • Новые основания для обработки сведений о судимости сотрудников
    • Обработка персданных в рамках исполнительного производства
    • Уточненный перечень документов, запрашиваемых Роскомнадзором при проверках
    • Законодательное определение термина "состояние здоровья"
    • Новые основания для обработки сведения о ближайших родственниках
    • Что такое "сведения об интимной жизни" и как РКН находит такие сведения в Т-2?
    • Уточненный раздел по мониторингу деятельности сотрудников (видеонаблюдение, аудиозапись телефонных переговоров, контроль Интернет-серфинга, контроль электронной почты)
    • Новое мнение ФСТЭК о лицензировании деятельности по ТЗКИ операторами ПДн, аттестации ИСПДн и оценке соответствия средств защиты ИСПДн
    • Увеличение штрафов по ст.13.11
    • Права и обязанности полиции, ФНС, ФССП и других госорганов при запросе ПДн у организаций.

    ЗЫ. По поводу размера презентации - не люблю делать презентации, которые без презентера фиг разберешь. Стараюсь делать так, чтобы на презентации было все, что нужно для самостоятельного изучения, включая ссылки на Интернет-ресурсы. Это позволяет отказаться от отдельного раздаточного материала и выдавать слушателям просто презентацию в электронном виде. А потом ее можно использовать в качестве руководство к действию.