28.2.15

Установлены требования Банка России по защите информации для бирж

15-го января я опубликовал слайдкаст про проект требований по защите информации к организаторам торговли. Мне было невдомек, что к тому моменту это уже был не проект, а утвержденное положение Банка России №437-П от 17.10.2014 "Положение о деятельности по проведению организованных торгов".

Обновил под это дело презентацию со слайдкаста:


26.2.15

APT и АСУ ТП - горячие темы на IDC IT Security Roadshow в Москве

18 марта в Москве пройдет очередное мероприятие в рамках IDC IT Security Roadshow 2015. Я буду вести на этом мероприятии две секции, посвященных целенаправленным угрозам и безопасности АСУ ТП. Мероприятия IDC снискали славу хорошо организованных, но изобилующих рекламой. Я попробую вторую часть немного исправить :-)

Секция по APT

Термин "целенаправленная атака" (Advanced Persistent Threat, APT) появился в 2006 году, но до сих пор эксперты спорят о том, что это такое? Представляют ли эти атаки что-то новое, или это просто маркетинг со стороны производителей, которые ищут новые способы для продвижения своих решений? Может ли всего одно устройство или программа спасти от целенаправленной атаки или необходимо приобретать целый ряд различных решений, направленных на различные вектора, используемые целенаправленными атаками? Куда будут развиваться целенаправленные атаки в ближайшем будущем и к чему стоит готовиться уже сейчас?

Вопросы для обсуждения на секции я выбрал следующие:
  • Что такое целенаправленная атака с точки зрения производителя и потребителя?
  • Кому больше всего стоит опасаться целенаправленных угроз?
  • Как выстроить систему защиты от целенаправленных угроз?
  • Можно ли использовать уже существующие решения или необходимо приобретать что-то новое?
  • Как выстроить собственную систему раннего предупреждения о проникших во внутреннюю сеть целенаправленных атаках?
На данный момент дали свое согласие поучаствовать в этой секции известные в отрасли люди:
  • Александр Виноградов, руководитель ИБ Златкомбанка
  • Лев Шумский, руководитель ИБ Банка Связной.
  • еще несколько кандидатур находится в стадии согласования.
Как видно, пока в дискуссии первую скрипку играют представители банков, но оно и понятно. Они те, кто чаще всего сталкиваются с тем, что часто называют целенаправленной угрозой. Однако я надеюсь, что в дискуссии примут участие представители и других отраслей. Ну и, конечно, буду активно вовлекать аудиторию зала в живую дискуссию.

Секция по АСУ ТП

Тематика информационной безопасности в АСУ ТП набирает обороты. Еще недавно все говорили о Stuxnet, как о колоссальной проблеме для объектов ТЭК, и вот уже в конце 2014-го года появляется информация о взломе АСУ ТП металлургического комбината. Не столь известными стали атаки на транспортные системы, системы управления водоснабжением и канализацией, системы управления процессами приготовления продуктов питания… Что это? Очередные газетные утки? Страшилки производителей средств информационной безопасности? Первые проявления спецопераций в киберпространстве? Обо всем этом мы поговорим с представителями разных стороны баррикад – с теми, кто торгует страхом, и с теми, кто пытается с ним бороться в реальной жизни.

Вопросы для обсуждения:
  • Что реально движет безопасностью АСУ ТП в России – реальные риски или планируемое ужесточение законодательства?
  • Были ли реальные инциденты с ИБ АСУ ТП в России или мы дуем на воду?
  • Насколько готовы АСУТПшники к новой для себя теме?
  • А насколько готовы игроки рынка ИБ?
  • Как совместить отсутствие в России отечественных средств защиты АСУ ТП и курс на импортозамещение?
В дискуссии примут участие представители российских и международных компаний, которые на практике сталкиваются и с реальными угрозами, и с требованиями регуляторов, и с наседанием интеграторов и вендоров:

  • Андрей Кондратенко, ведущий эксперт, СО ЕЭС
  • Петр Павлов, специалист по промышленным ИТ-системам, производственная компания FMCG-сектора
  • Илья Борисов, руководитель по информационной безопасности, ThyssenKrupp Industrial Solutions СНГ.
Вот такая программа планируется с моим непосредственным участием :-) Приходите, будет интересно.

ЗЫ. Тем, кто задается вопросом, почему нет заметок по итогам Магнитогорского форума, отвечаю - болел. Только оклемался. Наверстаю. Раскрою то, что еще никто не раскрывал :-)

19.2.15

Какие требования по защите предъявляются к СМЭВ?

В п.71 приказа Минкомсвязи от 27.12.2010 №190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» говорится, что в целях обеспечения защиты информации, содержащейся в информационных системах, подключенных к системе взаимодействия, участники информационного взаимодействия должны исполнять установленные требования по информационной безопасности. Я решил запросить Минкомсвязь о том, где установлены данные требования и получил ответ:


Мы вновь видим 17-й приказ ФСТЭК. Может быть пора уже прекратить искать обоснования ухода от невыполнения 17-го приказа? Все равно ничего другого, устанавливающего требования, у нас нет.

Если вас не устраивает 17-й приказ, то может быть стоит потратить усилия на его улучшение? Тем более, что ФСТЭК сама приглашает всех желающих для участия в процессе улучшения.

ЗЫ. Всем интересующимся, когда же будут заметки про Магнитогорский форум, хочу сказать, что все публикуется в онлайн в Твиттере. Правда, Facebook я заспамил своими твитами :-) Подытоживать я буду уже на следующей неделе.

Сколько нужно сертификатов на МСЭ для реализации 120-го приказа Минкомсвязи?

Продолжая утреннюю заметку, хотелось бы привести еще один ответ Минкомсвязи на вопрос, который возникал уже неоднократно и который мне задавали заказчики и слушатели на разных мероприятиях. Он простой.

В п.7 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» говорится о том, что межсетевые экраны, обеспечивающие контроль за информацией, поступающей в информационную систему, должны быть сертифицированы по требованиям ФСБ России. А в п.8 этого же приказа говорится, что межсетевые экраны должны быть сертифицированы по требованиям ФСТЭК России.

Аналогичные требования установлены в п.1 и п.2 приказа Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой».

Я просил разъяснить, используемые в информационных системах, регулируемых данными приказами, межсетевые экраны должны быть сертифицированы в обеих системах сертификации ФСБ России и ФСТЭК России или достаточно сертификата соответствия только одной из двух систем сертификации? Как мы знаем, продуктов сертифицированных в обеих системах сертификации у нас всего 3 (если я не ошибаюсь) и поэтому не совсем разумно требовать сертификат сразу двух систем - это сильно сужает возможность выбора для заказчиков.

Но вот Минкомсвязь разъяснил свои требования. Сертификатов нужно два!


ЗЫ. Может стоит все-таки посмотреть на 17-й приказ?..

Кем определяются уровни/классы защищенности в приказах 390/120/190/221 Минкомсвязи?

Кто смотрел мой недавний слайдкаст про требований по защите информационных систем госорганов, отличных от 17-го приказа ФСТЭК, могли обратить внимание, что в некоторых документах есть не до конца понятные пункты.

В частности, в п.9 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» говорится о том, что требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы.

Аналогичное требование установлено в п.3 приказа Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой». 390-й приказ уже отменили, но 120-й продолжает действовать.

В п.66 приказа Минкомсвязи от 27.12.2010 №190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» говорится о том, что подсистема информационной безопасности каждой информационной системы, подключаемой к системе взаимодействия, должна обеспечивать установленные законодательством Российской Федерации уровни защищенности информации, обрабатываемой в этой системе.

О классах защищенности говорится и в п.22 приказа Минкомсвязи от 02.09.2011 №221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения».

Я сделал запрос в Минкомсвязь и в понедельник получил ответ. Вполне закономерно Минкомсвязь отослала всех к приказу №17 ФСТЭК России.




17.2.15

Коллизия ФЗ-531 и ФЗ-242 в части хранения ПДн россиян за пределами РФ при оказании госуслуг

Те, кто внимательно следит за хитросплетениями законодательства в области защиты информации и персональных данных, тот помнит, что 31-го декабря ушедшего года было принято два федеральных закона - 526-ФЗ и 531-ФЗ. Первый внес поправки в ФЗ-242 и перенес дату вступления его в силу с 1-го сентября 2015-го года. С этой даты "первичный" сбор ПДн россиян может производиться только на территории РФ, исключая ряд ситуаций, в том числе и обработку ПДн для оказания госуслуг. Иными словами, данная норма разрешает собирать, хранить и актуализировать ПДн россиян за пределами РФ, если это делается каким-либо госорганом в рамках оказания госуслуг.



С другой стороны, ФЗ-531 внес поправки в ФЗ-149 и запретил находиться за пределами РФ техническим средствам информационных систем госорганов. Эта норма вступает в силу с 1-го июля 2015 года. Возникла коллизия - один закон разрешает, а второй запрещает. Как быть?


Вот по поводу этой коллизии я и написал в новогодние праздники в Минкомсвязь, а 13-го февраля получил ответ. Первые полторы страницы по сути пересказывают нормы действующего законодательства и в очередной раз упоминают, что Минкомсвязь не уполномочен комментировать законодательство. Значимым является последний абзац, который и отвечает на вопрос - можно или нельзя. Ответ прост - можно!


Правда, Роскомнадзор считает, что надо вносить поправки в законодательство для устранения этой коллизии. Но как и когда, ответа у них пока нет.


К тому моменту, когда РКН созреет до внесения изменений либо из под пера какого-либо из комитетов Госдумы выйдет еще один несогласованный ни с кем закон, либо сменится геополитическая ситуация, либо Роскомнадзор в очередной раз сменит мнение...




Новости ФСТЭК по моделированию угроз

Доклад Елены Борисовны Торбенко из 2-го управления ФСТЭК стал для меня неожиданностью по нескольким причинам. Во-первых, нечасто от регулятора в области ИБ выступает представительница прекрасной половины человечества :-) Во-вторых, ФСТЭК поделилась своим опытом по анализу присланных им в 2014-м году моделей угроз и выделила типовые ошибки, которые посоветовала не повторять. Такое бывает не часто - регуляторы обычно говорят, что надо делать, но редко говорят как. В-третьих, ФСТЭК признала, что далеко не все модели согласовываются - больше половины отправляются обратно на доработку. В итоге у меня сложилось впечатление, что процедура это явно непростая. 



В 2014-м году было рассмотрено свыше 60 моделей угроз - преимущественно от госорганов. Модели от коммерческих организаций ФСТЭК не рассматривает, исключая госкорпорации.


Отдельно было отмечено, что согласование моделей угроз - процедура необязательная; в отличие от согласования актуальных угроз безопасности ПДн, как это предусмотрено в части 5 статьи 19 ФЗ-152. На эту тему была большая дискуссия, касающаяся терминологии. В законе нет ни слова про моделирование угроз - говорится только о перечне актуальных угроз, которые госорганы должны согласовать с регуляторами (ФСТЭК и ФСБ). Поэтому госорганы часто направляют в ФСТЭК просто перечень угроз на 1-2 страничках и ФСТЭК обязан их согласовать. А вот обязанность заниматься моделирование угроз установлена в 17-м приказе ФСТЭК - она действует только для госорганов. Модель угроз для операторов ПДн является рекомендательной и согласовывать ее не надо. А вот для операторов АСУ ТП методика моделирования еще будет писаться - единая методика для этой задачи не подошла. Если резюмировать, то перечень актуальных угроз ПДн (не типов) может составлять только госорган и... (как написано в ч.5 ст.19 ФЗ-152), а вот модель угроз (почувствуйте разницу) может составлять кто угодно - это не запрещено.

Как я уже написал выше, согласовывают далеко не все, - в 2014-м году согласовали менее половины всех моделей угроз и тому есть немало причин, которым и был посвящен доклад Елены Торбенко.

Самая важная ошибка, которую допускают заявители - отсутствие описания структурно-функциональных характеристик информационной системы. Иными словами, ФСТЭК хочет сама убедиться, что вы учли все особенности защищаемой системы. Для этого и нужно к модели (или делать ее частью модели) прикладывать описание (паспорт) информационной системы, включающий в себя:

  • структуру ИС
  • состав ИС
  • взаимосвязи между сегментами ИС
  • взаимосвязи с другими ИС и ИТКС
  • условия функционирования ИС.
ФСТЭК специально уточняет, что не надо отправлять подробный и многостраничный отчет о проведенном аудите или обследовании ИС - нужно только резюме из него. В противном случае время на рассмотрение модели только увеличится.


Вторая ошибка, которая и вызвала мое удивление, - рассмотрение не всех угроз, связанных с особенностями используемых технологий. В качестве примера была приведена технология виртуализации, для которой не учитываются большое количество угроз:


По сути ФСТЭК подменяет специалистов госоргана и берет на себя ответственность за оценку того, какие угрозы для вас актуальны, а какие нет. Смело, ничего не скажешь. Но если ФСТЭК удастся поддерживать эту инициативу на должном уровне, то это будет просто замечательно.

Третья ошибка заключается в неверном определении объектов защиты.

Следующие четыре ошибки при моделировании связаны с элементами термина угроза:

  • Не проводится анализ возможных источников угроз (нарушитель, вредоносная программа, аппаратная закладка и т.д.). Обратите внимание! В новой методике моделирования немало внимания будет уделено оценке потенциала нарушителя (из ГОСТ Р ИСО/МЭК 18045).
  • Не анализируются последствия от действий нарушителя. Многие по привычке оценивают только угрозы нарушения конфиденциальности, забывая про нарушение целостности и доступности.
  • Не учитываются уязвимости, присутствующие в системе. Вообще ФСТЭК стал очень много внимания уделять именно уязвимостям и безопасности ПО. Так что стоит на этот момент обратить внимание.
  • Неверное определение способов реализации угроз.

Восьмая ошибка заключается в забывчивости о необходимости пересмотра модели угроз в связи с внесенными в информационную систему изменениями.

Последние три ошибки связаны с:

  • Использованием при моделировании угроз безопасности устаревшей нормативной правовой базы.
  • Отсутствии перечней нормативных правовых актов, устанавливающих требования к информационной системе.
  • Отсутствием единой терминологии.

С чем я не согласен, так это с тем, что модель угроз не должна содержать перечня защитных мер, направленных на нейтрализацию определенных в процессе моделирования угроз. Я как раз считаю, что перечень защитных мер должен быть именно в модели угроз, чтобы было понятно, зачем это моделирование делалось. Но в любом случае, нарушением это не считается.

Было интересное высказывание Виталия Сергеевича Лютикова, что они планируют разработать ряд типовых моделей угроз для распространенных систем и технологий. Но сроки не определены и боюсь, что учитывая другие планы по более приоритетным документам, до типовых моделей руки не скоро дойдут. Вот только если кто-то из экспертов предложит свои наработки...

ЗЫ. Зато хочу отметить, что почти все эти ошибки я рассматриваю в курсе по моделированию угроз :-)

16.2.15

Новости защиты ГИС или как Барак Обама нарушил бы 17-й приказ, если бы он был российским чиновником

12-го февраля, во время церемонии подписания своего указа об обмене информацией об угрозах информационной безопасности, Президент США признался, что долгое время в качестве своих паролей использовал "классические" - "password" и "123457" :-)

Нарушитель 17-го приказа ФСТЭК гражданин Барак Хуссейнович Обама
Будь Барак Обама российским чиновником, то он бы нарушил 17-й приказ ФСТЭК, а точнее требование ИАФ.4 "Управление средствами аутентификации", которое требует использования пароля не менее 8 символов длиной с мощностью алфавита в 70 символов.

17-й приказ сегодня является наиболее детально прописанным документом по безопасности госорганов (не вдаваясь в детали понятия "государственная информационная система"). Но и он не стоит на месте - в 2016-м году планируется утверждение его второй редакции, о чем было вывешено соответствующее информационное сообщение ФСТЭК 27-го января. Все желающие могут принять участие в его доработке, о чем также было еще раз упомянуто на прошедшей в четверг конференции ФСТЭК "Актуальные вопросы защиты информации" в рамках форуме "Технологии безопасности".


Но не 17-м приказом единым. В прошлом году, на конференции ФСТЭК, были озвучены планы по разработке новых документов, дополняющих и разъясняющих отдельные моменты 17-го приказа. Прошедший год, несмотря на скепсис отдельных коллег, прошел не впустую - ФСТЭК разработала проекты 4-х из 6 документов:

  • Порядок аттестации информационных систем
  • Порядок обновления программного обеспечения и информационной системы
  • Порядок выполнения и устранения уязвимостей в информационных системах
  • Защита информации в информационной системе при использовании мобильных устройств.
Разработка проектов оставшихся двух документов - по реагированию на инциденты и по защите беспроводного доступа - запланирована на второй квартал этого года.



Первая революция в ФСТЭК случилась в 2013-м году, когда на свет вышел 17-й приказ. Вторая должна произойти в этом году, с выходом нового порядка аттестации информационных систем, в которой упор будет делаться не только и не столько на чеклисты (как раньше), сколько на способность системы защиты противостоять реальным угрозам безопасности. По сути новый порядок аттестации является переходным шагом от "бумажной" безопасности к реальной.

На конференции Виталий Сергеевич Лютиков, начальник 2-го управления ФСТЭК, высказал мысль, что "новая" аттестация будет сродни аудиту. Правда, на вопрос из зала о том, что станется с имеющимися двумя ГОСТами, Виталий Сергеевич ответил, что они останутся действовать, так как не сильно пересекаются с новым порядком и является вводной к нему. Не знаю, тут надо будет посмотреть уже на практике, как будут соотноситься эти документы. Пока я (да и не только) скептически отношусь к этому выводу.

Кстати, остается открытым вопрос по квалификации аттестаторов. Согласно закрытому ГОСТу по аттестации - проводить ее для организаций, защищающих обычную конфиденциалку, может любой лицензиат ФСТЭК, а вот там, где есть гостайна, требуется отдельная аккредитация. В целом такое деление логично, но вот требований к первым пока нет и на практике может сложиться ситуация, когда ветераны аттестации будут по старинке проводить аттестацию информационных систем по чеклистам - без проведения аудита, поиска уязвимостей и контроля способности организации обеспечивать постоянный мониторинг ИБ. Ведь этому их никогда не учили. Так что тут я предвижу множество проблем в ближайшее время - аттестаторы будут перестраховываться и заниматься процессом "по старинке".


Второй документ, который был готов еще в прошлом году, стал порядок обновления ПО в информационных системах, включая и ПО средств защиты информации. Но что-то с его выходом затянули. Возможно, нашумевшее в прошлом году прекращение поддержки MS Windows XP (в т.ч. и сертифицированных версий), а также уязвимости Heartbleed и Shellshock (в т.ч. и в сертифицированных средствах защиты информации), повлияли на этот документ и в него вносили изменения, с которыми ФСТЭК столкнулась на практике.


Еще один документ, о котором говорили на конференции ФСТЭК, долгожданная методика моделирования угроз. Его все еще правят :-( Одно из ключевых отличий от проекта прошлого года - исключение из него АСУТПшной тематики - для нее будет готовиться отдельная методика моделирования угроз. В остальном документ уже находится на финальной стадии и до конца первого квартала должен быть выложен на сайт ФСТЭК. На вопрос из зала, что делать госорганам сейчас (в 17-м приказе же упоминается моделирование угроз), Виталий Сергеевич ответил, что пользоваться пока методичками 2008-го года по персданным.


В очередной раз из зала прозвучал вопрос о том, что же считать ГИСом. Тут Виталий Лютиков переложил ответственность на Минкомсвязь, который до сих не может разродиться четкими критериями или дать четкое разъяснение. ФСТЭК же не уполномочена трактовать этот термин, хотя неофициально они (да и не только они) считают, что любые системы, созданные на бюджетные средства, являются государственными и на них в полной мере распространяется 17-й приказ.

В 2016-м году будут менять СТР-К. Про этот момент сказано на конференции ФСТЭК было совсем мало и я не до конца понял, что будут менять и, зачем. Если только в части защиты технических каналов, то не вопрос - все логично. Но если новый СТР-К будет шире, чем просто технические каналы, то вопросов его соотнесения с 17-м приказом будет немало.

В следующих заметках я рассмотрю новости моделирования угроз и сертификации средств защиты.

Впечатления от конференции ФСТЭК

В четверг, 12-го февраля прошла долгожданная 5-я ежегодная конференция ФСТЭК "Актуальные вопросы защиты информации", на которой был не только анонсирован ряд новых, основополагающих документов по защите информации, но и специалисты регулятора поделились опытом по отдельным сферам своего регулирования. Выступая уже на второй конференции, могу сказать, что по сути эта конференция превращается в аналог Магнитогорского форума (а он, кстати, начинается сегодня), но применительно к сфере регулирования государственного сектора. Если Уральский форум задает тон на весь год в части планов ЦБ для своих подопечных, то конференция ФСТЭК показывает, что будет делаться в части защиты информации у госорганов.

Я буду описывать отдельные темы, озвученные на конференции, в самостоятельных заметках, а сейчас общие впечатления. Сразу надо сказать, что Гротек, как организатор форума "Технологии безопасности", в рамках которого и проходила конференция ФСТЭК, учел прошлогоднюю критику. Зал был увеличен в разы и под него выделили закрытое помещение, чтобы не мешала внешняя акустика. И хотя в зал вмещается 300 человек, все равно всех он не вместил - на первых докладах народ стоял "в коридорах" :-) Только ближе к концу стали появляться свободные места.

Так как зал был продолговатый, то организаторы установили два экрана в разных концах зала - это было удобно. Кстати, предвидя большое количество вопросов, организаторы из Гротека предусмотрели и микрофоны, с которыми девочки из группы поддержки бегали по залу и передавали всем желающим. В прошлый раз приходилось кричать с места, так как выбраться с него было затруднительно. Также, как спикер, хочу отметить, что и табличка оставшегося для доклада времени тоже была.

Зал конференции (фото Андрея Прозорова)
Еще один плюс организаторам -  презентации выложили на следующий день - это офигенная оперативность. Но скачать их не так просто - кто ни разу не регистрировался на мероприятия Гротека (InfoSecurity, "Технологии безопасности" и др.), для того это составило проблему. Кто не смог разобраться в инструкции по скачиванию, может сделать это у Андрея Прозорова.

Теперь перейду к впечатлениям от контента. Он был прекрасен. Могу сказать, что даже несмотря на то, что у меня был бессонный ночной перелет (я специально менял билеты, чтобы выступить на конференции), отсутствие нормального завтрака и полное отсутствие перерывов, мероприятие прошло на одном дыхании.

Основной удар на себя принял начальник второго управления Лютиков Виталий Сергеевич. Она задал тон конференции своим первым докладом, и он же взял на себя ответственность в части ответов на вопросы всем выступающим от ФСТЭК. А в этом году от них было уже не 3 докладчика, а 5 (если считать представителя ГНИИИ ПТЗИ), - включая и прекрасную даму - Елену Торбенко, рассказывающую про опыт рассмотрения моделей угроз, присланных в ФСТЭК на согласование :-) С одной стороны это показывает, что пока серьезный опыт выступлений на публике есть только у него, а с другой уже то, что он вытащил на сцену и других своих коллег - это хороший сигнал.

Очень интересным получилось незапланированное слияние оффлайн и онлайн общения, когда дискуссия в Twitter по отдельным выступлениям, комментировалась Лютиковым В.С. :-) Например, на твит про неумение пользоваться шрифтами в презентациях, Лютиков ответил, что возьмут на заметку :-) Также он поправлял слушателей, которые не всегда верно повторяли в Твиттере отдельные высказывания или просто писали неверно (про модель угроз, например, или про наказание за несоблюдение требований 31-го приказа). Полезный опыт, хотя я с трудом себе представляю, кто еще из регуляторов мог бы делать тоже самое; разве что Артем Сычев из ГУБЗИ.

Забавно, что часть народа свалила после первых двух докладов про планы ФСТЭК. Странно. Такое впечатление, что народ просто хотел про "бумажки" послушать. Однако несмотря ни на что, до конца остались многое - все-таки самое "вкусное" было оставлено именно на конец - доклад про базу уязвимостей и угроз, которую разработала ФСТЭК. Это вам уже не просто документы, а реальная онлайн-площадка. Причем сайт базы, работающей пока в тестовом режиме, выглядит гораздо симпатичнее текущего сайта ФСТЭК :-) Но про базу я напишу отдельно.

Наверное, это все, что я хотел рассказать про свои общие впечатления от мероприятия ФСТЭК. Впереди нас ждет "мероприятие ЦБ" в Магнитогорске. Хотелось бы, чтобы и ФСБ проводила что-нибудь аналогичное; именно с практической точки зрения. 8-й центр совсем чуть-чуть говорит на РусКрипто, чуть больше на CTCrypt, но все это либо носит теоретический характер, либо представляет собой одностороннее выступление регулятора без особого желания отвечать на вопросы. Но пока это скорее мечты - 8-й центр не готов на контакт с отраслью. Возможно потому, что работает не для нее, а для государства, у которого свои интересы, отличные от отраслевых.

13.2.15

А что если завтра нас отключат от CVE?

Две бессонные ночи и 3 перелета в 3 разных государства за 3 дня не способствуют подробному рассказу о той феерии, которая была сегодня на конференции ФСТЭК в рамках форума "Технологии безопасности". Напишу про нее отдельную заметку на следующей неделе и даже не одну. А пока выложу свою презентацию по созданию системы Threat Intelligence, которую я читал на конференции.



ЗЫ. Но хочу отметить, что мероприятие прошло на высоком уровне. Несмотря на отсутствие перерывов и обедов, несмотря на то, что у меня было две бессонные ночи и я прилетел в Москву за 3 часа до начала конференции и еще успел сделать презентацию, мероприятие пролетело на одном дыхании - с 11-ти утра до 5-ти вечера. Если уральский форум в Магнитогорске задает вектор развития банковской ИБ на год, то конференция ФСТЭК задает вектор развития для госорганов в этой сфере. Еще бы 8-ка делала что-то аналогичное и тогда был бы полный комплект.

11.2.15

HP покупает Voltage Security

Компания HP подписала соглашение о приобретении Voltage Security, занимающейся вопросами криптографией и вопросами токенизации. Детали сделки не разглашаются.

6.2.15

Каким мне видится автоматизированный календарь безопасника?

В жизни каждого безопасника немалое время занимает работа, связанная с временем. Но не в контексте его траты, а в контексте привязки к тому или иному временному моменту - экзамен на получение сертификата CISSP, прохождение аудита на соответствие СТО БР ИББС, встреча с руководством по поводу выделения бюджета, поучаствовать в вебинаре Алексея Лукацкого... Т.е. тайм-менеджмет и правильное использование личного календаря - это то, что составляет львиную долю рабочего времени безопасника.

Но помимо личного календаря, есть ряд задач, которые регулярно возникают в деятельности безопасника, но которые сложно вести самостоятельно. Речь идет о "глобальных" событиях, которые могут быть интересны широкому кругу пользователей. Впервые у меня эта идея возникла, когда я сделал первую версию календаря российских мероприятий по ИБ. Меня тогда многие просили перенести его в Google Calendar для удобства отслеживания наступающих мероприятий. Я тогда попытался это сделать, но не склалось. Встроенных базовых возможностей в календаре Google мне не хватило, а тратить время на создание собственного сервиса я не захотел (хотя такие попытки есть). Но идея продолжала жить...

Недавно у меня родилась очередная идея по развитию календарного сервиса для безопасника, связанная с автоматизацией работы с реестрами сертификатов ФСТЭК и ФСБ. Ведь очень часто мы забываем, что сертификаты имеют срок действия и вполне может статься, что мы используем решение с уже просроченным сертификатом. Хотелось бы иметь возможность откуда-то получать уведомления о том, что скоро (срок, за который надо сообщать, тоже хотелось бы настраивать) придет время задуматься об обновлении сертификата.

Если посмотреть чуть дальше, то такой календарный сервис мог бы отслеживать и уведомлять о сроке вступления в действие (или прекращения их действия) нормативных актов ФСТЭК, ФСБ, ЦБ, Роскомнадзора и т.п. Да и уведомление о сроках проведения проверок со стороны наших регуляторов тоже не будет лишним. Одно дело проверить свое попадание в список в начале года и совсем другое - держать в голове дату начала проверки в течение года.

Резюмируя, хотелось бы видеть календарный сервис со следующими возможностями:
  1. Централизованное и регулярно обновляемое ведение списка мероприятий, сертификатов, проверок регуляторов. Это как минимум. Но список типов событий может быть и расширен.
  2. Уведомление о дате наступления выбранного события.
  3. Возможность формирования собственного списка интересующих событий (после регистрации в сервисе) с указанием собственных временных интервалов, через которые необходимо отправлять уведомление.
  4.  Фильтрация в зависимости от типа события. Например, для мероприятий можно было бы фильтровать по следующим критериям:
    • Город/страна
    • Тип (онлайн/оффлайн)
    • Организатор
    • Вендорский/невендорский
    • Аудитория (гики/админы, CISO и т.п.)
    • Спикеры
    • Направленность (PKI, Web, все обо всем и т.п.)
Вот как-то так :-) Пока приходится все это в ручном режиме отслеживать, что не всегда удобно. А вот если бы BIS-Expert или SecurityLab или "Информационная безопасность банков" запустили у себя такое, то цены бы им не было. Да и показатели ежедневной аудитории  подняли бы...

ЗЫ. Из известных мне сервисов, которые можно было бы "докрутить":

5.2.15

Сбор ПДн и их хранение - в чем разница в контексте 242-ФЗ?

Продолжаю выкладывать фрагменты письма Роскомнадзора касательно ФЗ-242. Тем более, что сейчас как-то активизировалась эта тема именно среди иностранных компаний. Мероприятие в Ассоциации Европейского Бизнеса (АЕБ), в Бейкер-Маккензи, в Франко-Российского Торгово-промышленной палате, в The Moscow Times... Сегодня вот представители иностранных компаний собираются в РКН, чтобы обсудить эту тему. Я не думаю, что сейчас представители регулятора смогут сказать что-то новое. Все, что они хотели - зафиксировано в письме. Вот после 12-го февраля (если введут очередные санкции) политическая ситуация может поменяться и РКН получит новую вводную и ответ может быть другим :-( Но пока мы исходим из текущей ситуации. А она такова:


В этом фрагменте важно два момента. Первый - термин "сбор", вокруг которого крутятся все комментарии экспертов. Роскомнадзор почему-то распространяет нормы ФЗ-242 и обработку "после сбора", в то время как часть 5 статьи 18 ФЗ-152 говорит только про сам сбор ("при сборе") и ничего более. Второй момент касается определения термина "база данных", которое мы уже рассмотрели и которое отделено от термина "техническое средство" и "информационные технологии". Вспомним схему, которую я рисовал в июле.


Если взглянуть на нее внимательно и на разъяснение РКН, то мы поймем, что все элементы ИСПДн, исключая базу данных, могут находиться где угодно. И только БД - на территории России. Технически это сделать возможно - вопрос только в целесообразности таких затрат. Хранить ПДн, полученные при их сборе, одновременно и в России и за ее пределами нельзя - это будет нарушением ФЗ-242.


А вот с частью ответа РКН, который почему-то расширил действие ФЗ-242 не только сбором ПДн, я не согласен. На мой взгляд, я имею полное право, собранные и сохраненные данные, передавать дальше куда угодно (при соблюдении требований 12-й статьи ФЗ-152) и хранить где угодно (операция сбора уже закончилась и у меня вступили в силу другие операции обработки ПДн). И РКН дальше "проговаривается", подтверждая эту мысль:


Финализирует данную часть ответа РКН следующим образом:


И это вновь подтверждает высказанную мной мысль, что собрав ПДн в России и храня их первоначально именно у нас, дальше с данными можно делать все, что угодно и передавать/хранить их где угодно. Однако при этом РКН по-прежнему заявляет, что собранные данные должны тут и оставаться, так как их актуализация может производится только в России.


Мне непонятно, с чего РКН делает такой вывод про актуализацию. Да, обновление и уточнение ПДн могут считаться актуализацией, но опять же только при сборе ПДн. Видимо РКН считает, что ПДн могут попасть в базы данных только одним способом - через сбор. На мой взгляд это не совсем так.

Если же взять за основу точку зрения РКН, за которую они так прочно держатся, то получается ровно то, что я писал ранее - передавать можно, хранить нет. А как можно передавать без хранения? Либо исходить из того, что за пределами РФ хранится не обновляемая самостоятельно база. Иными словами, зеркало. А вот первичный ввод и уточнение осуществляются на территории РФ и дальше уже передаются данные, повисающие мертвым грузом за пределами РФ. Возможно. Тогда понятно, почему РКН не способен ответить на вопрос о "зеркалах".


Резюмируя, можно сказать, что регулятор пока стоит на своем и, несмотря на требования закона, трактует их однобоко и очень жестко. Можно конечно говорить, что закон выше позиции регулятора, который к тому же еще и не имеет права трактовать законодательство, но применять его будет именно РКН и не учитывать их позицию было бы неправильно. 

4.2.15

"Гражданство" персональных данных и позиция РКН

Продолжаю публиковать выдержки из последнего письма Роскомнадзора касательно применимости ФЗ-242 к отдельным видам обработки ПДн российских граждан. В этом раз возьмем последний кусок этого письма, посвященный вопросу определения "гражданства" персональных данных. Как и предполагалось, РКН ответил, что это проблема не закона, а оператора ПДн.


ЗЫ. Текст ответа РКН целиком выложу, видимо, в пятницу.

Чего я жду от магнитогорского форума #ibbank?

16-го февраля, всего через 2 недели, начнется очередное знаковое событие в банковской ИБ - Уральский форум "Информационная безопасность банков". Я туда езжу уже много лет и это одно из четырех региональных событий общероссийского масштаба, которые мне нравится посещать (еще IT & Security Forum, "Код безопасности" и ИнфоБЕРЕГ, если последний вернется из Крыма в Сочи :-) Еду я и в этот раз; причем от текущего мероприятия у меня особые ожидания.

И дело тут не только в том, что в Магнитогорске в этом время нормальная зима. Скрипучий снег, морозец, солнце, свежий воздух... В Москвы мы этого всего лишены большую часть зимних месяцев и поэтому хоть ненадолго прильнуть к лону природы дорогого стоит.

И дело не в том, что в Магнитогорске удается встретиться и нормально пообщаться с друзьями и коллегами, которых в Москве, с нашим ритмом, трудно вытащить на встречу. А на Урале для этого все условия - деревянные бани с морозными купальнями на улице, соленые груздочки в сметане, пельмешки, травяной чай с медом и другие напитки, которые так хорошо идут под гитару или караоке в 3 часа ночи. Есть и иные, более рабочие мотивы.

В первую очередь, это мероприятие задает тон на ближайший год в части ИБ банковской сферы. Именно на нем озвучиваются различные инициативы, которые затем, в течение года претворяются в жизнь. В частности в этот раз я жду ответа на следующие вопросы:
  1. Противостояние ГУБиЗИ и ДНПС. После того, как в ЦБ произошла очередная реорганизация и ДНПС покинули ключевые сотрудники, занимавшиеся ИБ, в ДНПС не осталось никого, кто обладал бы политическим влиянием продвигать какие-то изменения в области информационной безопасности Национальной платежной системы. И методологическая основа оттуда тоже исчезла. В итоге ДНПС сейчас собирает сейчас 202-ю и 203-ю формы отчетности, но никакой публичной аналитики по ним нет уже полтора года. Последний отчет об инцидентах был за первое полугодие 2013-го года. Возникает закономерный вопрос - зачем нужен ДНПС, если за ИБ в кредитных организациях он отвечает лишь формально? Не вернуть ли эту тему обратно в ГУБЗИ, в единые руки, которые писали и СТО БР ИББС и первую редакцию 382-П? Тогда развитие нормативной базы ЦБ в области ИБ станет более понятным и предсказуемым. Да и к мнению отрасли станут больше прислушиваться - в последних двух редакциях 382-П мнение экспертов, высказанных на разных рабочих группах почти не было услышано. Есть шанс, что в Магнитогорске может появиться ясность в этом вопросе.
  2. FinCERT. 30-го января "Ведомости" опубликовали статью про FinCERT, которая сразу вызвала споры в узком кругу специалистов. Статья утверждала, что из ряда источников стало известно, что центр реагирования на инциденты безопасности в кредитных организациях будет создан не при ЦБ, как говорилось ранее, включая и прошлогодний Уральский форум, а при ООО НСПК (его представители, кстати, тоже будут на форуме в Магнитогорске); и заниматься, якобы, этот центр будет не всеми инцидентами в кредитных организациях, а только связанными с карточным мошенничеством в НСПК. Со стороны ряда экспертов, приближенных к ЦБ, был высказан тезис, что все не так, как написано в статье. На форуме обещали раскрыть все карты и рассказать, что все-таки будет делать FinCERT? Меня лично интересует два вопроса, с ним связанных. Первый - что станется с 203-й и 258-й формами отчетности? Куда они будут направляться после запуска FinCERT'а - по-прежнему в ДНПС (и там они пропадают, как в бездне) или в FinCERT? А второй вопрос связан со сферой деятельности FinCERT - ограничится ли он только аналитической и методологической составляющей (что врядли, учитывая, что очень активную роль в процессе создания играет Совет Безопасности и ФСБ) или будет заниматься расследованием инцидентов? Но тогда встает вопрос о внесении изменений в законодательстве об ОРД. На форуме должны дать ответ и на эти вопросы.
  3. ИБ в НСПК. С НСПК связана и другая тема. С 1-го апреля она должна быть запущена в промышленную эксплуатацию. НСПК, как платежная система, является частью НПС и обязана соблюдать ее правила. В том числе правила и по информационной безопасности, описанные в 382-П. Но там про безопасность карточек нет ни слова (кроме поправок в новую редакцию 382-П, вступающие силу с 16-го марта, о том, что надо переходить на чиповые карты). Как выполнять требования по ИБ применительно к картам, выданным НСПК? Тему "легализации" PCI DSS прикрыли; да и в текущей геополитической ситуации ее врядли кто поднимет на древко (тут самому бы на это древко не быть поднятым). Тоже тема с множеством вопросов, на которые хотелось бы получить ответы; особенно учитывая, присутствие на форуме всех ключевых игроков.
  4. ФЗ-242 и перевод денежных средств. Учитывая присутствие на форуме представителей РКН, я предвижу, что им может быть задан вопрос о том, как осуществлять денежные переводы из России (в которых фигурируют ПДн плательщика - гражданина РФ) в другие государства; особенно в рамках заработавшего с 1-го января ЕАЭС? Запрещает ФЗ-242 хранить ПДн российских плательщиков в АБС иностранных банков-получателей или нет? Кто-то говорит, что нет. Кто-то, что да. А хотелось бы иметь четкий ответ. Может быть такой запрос уже сделал ЦБ в сторону РКН?.. 
Я назвал четыре темы, которые вызывают мой искренний интерес, и которые должны быть освещены в рамках форума (может быть и непублично - не зря многие вопросы на форуме обсуждаются кулуарно). Но это не все, что представляет интерес.

Лютиков Виталий Сергеевич будет говорить о подходах к безопасности ПО, что, учитывая подготовку нормативки по данной теме, говорит о том, что нас ждет скоро новая тема, курируемая ФСТЭК - SDLC и все с ней связанное. Судя по тому, что на конференции ФСТЭК "Актуальные вопросы защиты информации" этой теме должного внимания не уделено, то на Урале будет премьера. Будут выступления про проверки со стороны ЦБ и ИБ в некредитных организациях. МВД расскажет про противодействие мошенничеству, а 8-ка про использование отечественных HSM при создании НСПК. Кстати, со стороны органов власти будет очень представительная делегация - ЦБ (все ключевые департаменты), ФСБ, ФСТЭК, РКН, Совет Федерации, заместитель губернатора Челябинской области (Руслан Гаттаров).

Еще мне интересен формат, который был опробован в прошлом году - вечерние посиделки "на тему". В прошлом году очень удачно подискутировали "под пиво" про FinCERT. В этом году было решено поговорить на животрепещущую тему санкций. И дело тут не только в части поставок ИБ/ИТ-решений в банки, но и в части осуществления деятельности по переводу денежных средств. Например, "Золотая корона" не осуществляет с 20-го ноября платежей в Крым и Севастополь. Почему? Российская платежная система и не переводит в регион РФ... Странно. Тема для обсуждения.

Будет несколько круглых столов; интересных мне два. Один ведет Наташа Касперская - про авторитет ИБ в условиях кризиса. Второй - про ожидания банков от ИБ-вендоров и интеграторов. Думаю будет много неудобных вопросов про повышение цен на отечественные продукты, непрозрачность ценообразования, нежелание кредитования и т.п. Будут и специальные воркшопы от вендоров - полуторачасовые демонстрации продуктов и решений с вопросами и ответами (этого в прошлом году не было).

Впервые будет закрытая секция, на которую будут допущены только банки, которые смогут пообщаться с ЦБ, ФСБ и МВД. Что там будет - можно предположить, но доподлинно неизвестно. В контексте создания FinCERT секция будет более чем интересная.

А на закуску - день практической безопасности. Последний день форума. Будет 3 мастер-класса - от Касперского, Positive Technologies и CTI... 2 выступления от "банкиров" - Фарит Музипов поделится опытом прохождения различных международных ИБшных сертификаций, а Андрей Коротков расскажет о том, как он "переметнулся" из ИБ в ИТ и как у него поменялось мировозрение :-)

И, наконец, в этом году родилась идея попробовать провести киберучения по информационной безопасности. Это не будет аналогом CTF, направленного на технических специалистов. Хочется попробовать провернуть что-то для руководителей ИБ, которые в режиме мозгового штурма (пока детали раскрывать не буду) попробуют отражать атаки на несуществующий, но похожий на реальный банк, а жюри и аудитория в зале будет оценивать действия нападающей и защищающейся сторон.

Также из новинок хотел бы отметить:

  • Бесплатное обучение по вопросам безопасности от ряда ведущих учебных центров России (очень удачно можно совместить командировку с обучением, что в условиях урезания бюджетов будет очень и очень актуально).
  • Мобильное приложение "Уральский форум", которое содержит программу конференции с возможностью составить собственное расписание, список участников (теперь можно не тупить "а ты кто такой", а глянуть в приложение) и спикеров, партнеров и организаторов. Для тех кто любит ночами блудить между катком, караоке, банями, бильярдом и баром, в приложении будет карта места проведения конференции с указанием всех злачных мест :-) Ну и самое интересное - голосование. В прошлом году мы голосовали карточками (как судьи на футбольном поле) - в этот раз инновации достигли Урала и свою оценку можно будет поставить любому спикеру. При этом он вас не видит и вы можете разгуляться по полной :-) 

  • Книжная ярмарка с новинками ИБ-литературы. Кстати, на форуме будет представлена книжка Артема Сычева и Сергея Вихорева "Диалоги о безопасности информации". Кто хочет получить книгу с автографами авторов? :-)


    Насыщенная программа, интересные темы... Присоединяйтесь :-)



    ЗЫ. Мне тут дали понять, что мой репортаж в прямом эфире с конференции - не самая лучшая идея, которая приводит к потере на склоне или в баре части аудитории, следящей за происходящем в зале по моим твитам. Так что в этом году прямого репортажа может и не состояться :-(

    3.2.15

    Где установлены требования по защите госорганов? Триптих. Часть II

    Продолжаем триптих, начатый темой "Что такое государственная информационная система?" и, незапланированным слайдкастом "Как защищать ГУПы и ФГУПы?". Сегодня мы перейдем ко второй части триптиха, посвятив ее теме, вытекающей из вопроса: "Если не 17-й приказ, то где еще установлены требования по защите информационных систем, не являющихся государственными, но используемыми в государственных органах?"

    Оказалось, что существует еще 11 нормативных акта, устанавливающих вполне конкретные требования к защите информации в информационных системах, отличных от государственных, и используемым в них средствам защиты. Этому и посвящен сегодняшний слайдкаст.



    Сама презентация выложена на Slideshare:



    ЗЫ. В завершающем триптих слайдкасте я рассмотрю требования из данных нормативных актов более подробно.

    2.2.15

    Новости ФСТЭК

    За последнюю неделю произошло два события, связанных с ФСТЭК, которые сами по себе может быть и не столь значительны, но определят развитие отрасли ИБ на ближайшее время. Итак, начнем со второго события - 29-го января ФСТЭК разместила у себя на сайте информационное сообщение о начале сбора предложений по внесению изменений в 17-й приказ по защите государственных информационных систем. Я уже как-то писал, что у ФСТЭК есть желание выйти на двухлетний жизненный цикл своих документов и вот первое доказательство. Будучи утвержденным в феврале 2014-го года, вторая редакция 17-го приказа должна быть принята спустя два года - в первом квартале 2016-го года.

    Я уже не раз призывал специалистов отрасли поучаствовать в процессе подготовки предложений к нормативным документам регулятора, призываю и сейчас. Я как считал, так и продолжаю считать, что документы получились очень неплохими и гибкими в выборе защитных мер. Помню, что звучала не раз критика сложности 17-го (да и 21/31-го) приказа. Сейчас появляется возможность этот "недостаток" устранить, предложив свою структуру документа.

    Но вернемся ко второму событию - 27-го января ФСТЭК анонсировала у себя на сайте проведение 12-го февраля ежегодной конференции "Актуальные вопросы защиты информации". Как это уже было в прошлом году, на конференции озвучиваются основные тенденции и планы развития нормативной базы на ближайшее время.

    Что же мы видим в программе мероприятия? Во-первых, доклады, посвященные моделированию угроз и практике рассмотрения моделей угроз госорганов, направляемых в ФСТЭК для согласования. Могу предположить, что на конференции будет представлена долгожданная методика моделирования угроз.

    Во-вторых, заявлена тема совершенствования системы сертификации средств защиты информации. Могу предположить, что будет анонсирован документ, о разработке которого речь шла в прошлом году, и который содержит новые правила оценки соответствия средств ИБ. На это же направлены и новые правила аккредитации органов по сертификации и испытательных лабораторий.

    Третья тема касается изменения правил лицензирования деятельности по ТЗКИ. Аккурат к конференции ФСТЭК подготовила проект нового административного регламента и по этому вопросу. Еще одна тема, которой посвящена конференция ФСТЭК, - безопасность АСУ ТП. В прошлый раз представители регулятора анонсировали не только 31-й приказ, но и планы по разработке целого ряда методических документов. Возможно они будут представлены в этом году.

    И, наконец, последняя, совершенно новая тема оставлена "на закуску" конференции - создание в России собственной базы угроз и уязвимостей, независящей от американских NVD и CVE. В этом блоке буду выступать и я с докладом "А что если завтра нас отключат от CVE… Как создать собственную систему Threat Intelligence".

    Вот такие новости от ФСТЭК...

    Что такое "база данных" в контексте ФЗ-242?

    Пытливые исследователи российского законодательства по персональным данным наверное не раз задавали себе вопрос о том, что такое "база данных"? Этот термин, появившись еще в первой редакции ФЗ-152 в определении информационной системы персональных данных (правда, во множественном числе), получил новый толчок в его изучении после принятия ФЗ-242, который очень активно использовал понятие базы данных.

    В своей практики мне приходилось сталкиваться с разными трактовками этого термина. И из ГОСТ Р 20886-85 "Организация данных в системах обработки данных" 86-го года, согласно которому базой данных считается "совокупность данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ". Согласно этому определению база данных может быть только в электронном виде.

    Сталкивался я и с определением из Гражданского Кодекса, а точнее из статьи 1260 "Переводы, иные производные произведения. Составные произведения". Согласно нему "базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ)". И вновь мы говорим только об электронном виде базы. А еще данная статья мало касается законодательства о персональных данных, так как применяется в 4-й статье ГК только в контексте законодательства об авторских и смежных правах. Не думаю, что стоит это определение пытаться транслировать на тематику ПДн, так как мы тогда станем заложниками и ряда подзаконных актов, вытекающих из этой ветви ГК, например, ПП-252 о лицензировании деятельности по изготовлению... баз данных :-)

    Термин "база данных" также встречается и применительно к различным типам правоотношений, например "база данных об абонентах операторов связи", "база данных донорства крови и ее компонентов", "база данных перенесенных абонентских номеров" и т.п. Но всегда интересно узнать, что же под этим термином понимает регулятор, в частности Роскомнадзор.

    И вот в последнем, январском разъяснении в адрес Совета Федерации Роскомнадзор наконец-то дал ответ, что же они считают базами данных. Итак, фанфары...


    Причем тут Модельный закон и какое отношение он имеет в законодательству России? Почему понятие базы данных расширено и толкуется применительно не только к электронной форме? Значит ли это, что вывозимая мной за пределы РФ пачка чужих визиток попадает под действие ФЗ-242? Вопросы, вопросы, вопросы...