26 июня 2012 г.

Как построить типовой проект системы защиты персональных данных на среднем и малом предприятии

В связи с усилением надзорной деятельности за соблюдением законодательства о персональных данных, обеспечением безопасности информационных систем, содержащих персональные данные, стали заниматься и организации сегмента среднего и малого бизнеса. Для большинства из них не только техническая защита персональных данных, но и обеспечение информационной безопасности в целом – дело абсолютно новое и неизведанное.
Для тех, кто хочет сориентироваться в проблеме, определить для себя примерный план действий, 28 июня  компания «Код безопасности» при нашем участии проводит вебинар «Типовой проект по построению системы защиты персональных данных на среднем и малом предприятии. “Подводные камни” и сложности выполнения требований законодательства». В своем выступлении я остановлюсь на тонкостях построения подсистемы безопасности в небольших организациях, большинство из которых имеет подключение к Интернет, активно использует электронную почту, а иногда и технологии виртуализации. Как не потратить лишнего, которого не бывает, но и выполнить требования госрегуляторов – одна из тем, которая будет затронута на вебинаре.
Участие в вебинаре бесплатное при обязательной предварительной регистрации.

18 июня 2012 г.

Защита информации в национальной платежной системе: новые-старые требования

Пока мы, в очередной раз, наблюдали за тем, как немотивированные футболисты во главе с обиженным на всех тренером сливали воду в Варшаве, жизнь шла своим чередом.

На сайте Правительства Российской Федерации появилось подписанное 13 июня 2012 года его Председателем Постановление № 584 «Об утверждении Положения о защите информации в платежной системе», которое вступает в силу с 1 июля 2012 г.

Как и предусмотрено п.1 ст.27 ФЗ «О национальной платежной системе», Положение устанавливает требования к защите информации:

· о средствах и методах обеспечения информационной безопасности,

· о персональных данных,

· об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе.

Самый главный вопрос, возникающий при изучении Положения, - тот же, что и был к ФЗ «О национальной платежной системе»: требования к защите банковской тайны, которую обязаны гарантировать операторы и агенты (субагенты), будут установлены Банком России, исходя из смысла части 3 той же статьи 27 закона, или же банковская тайна – «иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации»? Если последнее, то защиту каких сведений будет определять Банк России?

Требования к защите информации с 1 июля 2012 года, как это предусмотрено ФЗ «О национальной платежной системе», должны включаться операторами в правила платежных систем и предусматривать в обязательном порядке (располагаю не в том порядке, как это указано в Положении, а исходя из своего понимания логики действий):

· наличие структурного подразделения по защите информации (службы информационной безопасности) или специально назначенного должностного лица, ответственного за организацию защиты информации;

· риск-ориентированный подход к обеспечению безопасности, что вполне соответствует обязательности создания системы управления рисками в платежной системе;

· определение угроз безопасности информации и анализ уязвимости информационных систем;

· наличие системы защиты информации в информационных системах;

· обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования (тонкая аллюзия на необходимость защиты при передаче данных через интернет?);

· применение средств защиты информации; определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;

· наличие у операторов и агентов локальных правовых актов, устанавливающих порядок реализации требований к защите информации;

· обязанности по выполнению требований к защите информации в должностных обязанностях работников, участвующих в обработке информации;

· выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;

· организация, проведение контроля и оценка выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года (самостоятельно или с привлечением лицензиата в области ТЗКИ).

Следующая неожиданность: перечень средств защиты выглядит исчерпывающим (традиционных слов «и другие», «и иные» в тексте Положения нет) и включает в себя:

· шифровальные (криптографические) средства,

· средства защиты информации от несанкционированного доступа,

· средства антивирусной защиты,

· средства межсетевого экранирования,

· системы обнаружения вторжений,

· средства контроля (анализа) защищенности.

Все! Требования об обязательности оценки соответствия СЗИ нет! Читаем еще раз внимательно. Нет такого требования. А вот что это значит – пока совершенно непонятно. Если с защитой персональных данных при осуществлении платежей есть некоторая ясность – меры обеспечения их безопасности определены специальным законодательством, которое в совокупности фактически требует обязательной сертификации СЗИ, то как быть с «иной информацией, подлежащей обязательной защите в соответствии с законодательством Российской Федерации» и что это за информация вообще, будет выясняться, как обычно, по ходу правоприменения.

Фраза «Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации» похоже, является намеком на то, что деятельность по ТЗКИ по-прежнему является лицензируемой.

Последний пункт Положения предусматривает, что применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации. Т.е. опять – только общие слова и, как следствие, неизбежные бесконечные дискуссии специалистов о допустимости использования SSL и TLS, реализующих RSA и прочую заморскую «непонять», электронных средств платежей зарубежной разработки со встроенной в них криптографиейо том, как не нарушить закон при трансграничном переводе денежных средств и т.д.

Порядок действий оператора платежной системы при реализации требований закона и вводимого в действие Положения представляется следующим. Оператор:

1. Назначает у себя структурное подразделение (возлагает на службу информационной безопасности) или должностное лицо, ответственное за организацию защиты информации в платежной системе.

2. В соответствии с выбранной организационной моделью управления рисками в платежной системе (ст.28 закона) определяет свою зону ответственности за риски, связанные с информационной безопасностью, выявляет и обрабатывает риски на основании моделирования угроз и выявления уязвимостей (не забываем про не антропогенные угрозы!) и/или получает информацию о необходимости обработки рисков, выявленных операторами услуг платежной инфраструктуры и участниками платежной системы, а также расчетным центром, если функции по оценке и управлению рисками переданы ему.

3. Самостоятельно (при наличии лицензии на ТЗКИ) или с привлечением лицензиата проектирует систему защиты информации в своей информационной системе, обеспечивающую снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности с использованием набора средств защиты, перечисленных в Положении. При этом оператор помнит о возможности перехвата информации при осуществлении электронных платежей через сети связи общего пользования и интернет (а как иначе их осуществлять) и поднимает для этого криптографические протоколы, в том числе несертифицированные, если может обосновать законность их ввоза и использования.

4. Исходя из результатов обработки рисков и наличия актуальных угроз, в первую очередь – исходящих от его собственного персонала, устанавливает правила доступа к средствам обработки информации и определяет используемые для этого средства.

5. Разрабатывает пакет локальных нормативных документов, описывающих все сделанное выше, в том числе - распределяющих и описывающих обязанности конкретных пользователей системы.

6. Организует мониторинг за выполнением установленных правил, выявление инцидентов и систему реагирования на них, причем документирует результаты этой работы не реже 1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (мы помним о том, что в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).

Вот так, примерно. Ничего или почти ничего нового, за исключением заявленного риск-ориентированного подхода. Схема знакома, опробована и закреплена в большом количестве актов. За работу, товарищи участники платежной системы!

8 июня 2012 г.

О мерах повышения безопасности систем дистанционного банковского обслуживания

Вчера выступал на Инфофоруме по вопросу минимизации рисков, связанных с атаками на дистанционное банковское обслуживание (ДБО). Поскольку самый распространенный вопрос, как обычно, – «Можно ли получить Вашу презентацию?», отвечаю всем сразу – можно. Выкладываю.
При обсуждении выступлений произошла занятная дискуссия с участием В.А. Конявского (ВНИИПВТИ /Физтех /ОКБ САПР), С.Л. Груздева (компания «Аладдин Р.Д.»), В.А. Гамзы (Национальная ассоциация кредитных брокеров и консультантов) и моим участием о гарантированной и вероятностной безопасности, доверенных средах на недоверенном оборудовании и допустимых пределах рисков. В роли арбитра, сдерживающего боксирующих,  выступил исполнительный директор ассоциации российских банков Т.Н. Аитов. Травм не было. А спор показался интересным.

1 июня 2012 г.

2 позитивных дня

Закончились два позитивных дня Positive Hack Days. Пишут и напишут об это очень-очень много. И поделом. То, что придумали и сделали ребята и девушки всего одной компании-игрока рынка, аналогов в России не имеет. Ни по количеству участников, ни по разнообразию тематики, ни по формам проведения. Спикеры со всего мира с великим Брюсом Шнайером во главе. Доклады, панели, круглые столы, мастер-классы и практические демонстрации. Конкурсы и соревнования. Площадка для молодых ученых, битвы взломщиков-защитников и, рядом, поиск ценной информации в горах бумажного мусора и поиск человека в толпе участников по неким идентифицирующим признаком.  Только перечисление того, что было, требует места, отводимого на стандартный пост. А как работали сотрудники Positive Technologies, обеспечивая проведение всего этого! Здорово и спасибо!
Ну, и наш скромный вклад – «Когда и почему невозможно не нарушить 152-ФЗ…».
Не останавливаясь на негативе, который каждый сам может посмотреть в презентации (см. ниже), предлагаю только позитивное (перечень не исчерпывающий). Закон надо менять. Обязательно.
В первую очередь, надо отказаться от:
·         технического и технологического регулирования;
·         обязательности выполнения формальных требований, не учитывающих особенности деятельности оператора;
·         привлечения к ответственности за невыполнение требований в случае отсутствия инцидента;
·         института уведомления, так как любое юрлицо-оператор персональных данных;
·         обязательного лицензирования деятельности, вмененной законом в обязанность;
·         правового обоснования возможности обработки в случаях, когда без персональных данных деятельность юрлица невозможна (данные работников, обучаемых, пациентов, пассажиров и т.п.);
·         недопустимых барьеров на пути электронной коммерции.
Что надо оставить из действующей редакции закона:
·         обязанность использовать персональные данные не во вред субъекту;
·         обязанность компенсировать субъекту ущерб в случае инцидента с его персональными данными (но не в случае несоблюдения формальных правил);
·         обязанность соотносить состав и объем обрабатываемых персональных данных с целями их обработки;
·         право субъекта на доступ к своим персональным данным;
·         возможность государства регулировать обработку персональных данных в государственных и муниципальных системах.
Что надо изменить в подходе к защите персональных данных, устанавливаемом законом:
·         обеспечить баланс интересов субъекта, оператора и государства;
·         исходить из соотнесения вреда и стоимости защитных мер;
·         перейти к инцидентно-ориентированному подходу (нет инцидента – нет предмета разбирательства);
·         дать право субъекту оспаривать допустимость действий с персональными данными;
·         перенести решение вопроса возможности обработки в негосударственный орган или суд;
·         дать право оператору самому определять состав и содержание мер по защите персональных данных;
·         перейти от формальных требований к стандартизации;
·         следовать принципу свободы договора, закрепленному в Гражданском кодексе;
·         закрепить возможность оценки конклюдентных действий субъекта персональных данных.
И, может быть, закон все-таки заработает в том направлении, ради которого он принимался.
А теперь - презентация доклада.