28 ноября 2012 г.

Панегирик выставочному бизнесу [в области информационной безопасности]

Все, наверное, помнят замечательный диалог про долму в классическом «Мимино». Причиной непопулярности этого блюда в определенных регионах может быть, по мнению героя Фрунзика Мкртычана, исключительно то, что там просто не умеют готовить долму. Именно этот эпизод всегда приходит мне на память, когда начинаются дискуссии о российских выставках по информационной безопасности.
Сейчас, в период очередного роста количества мероприятий по информационной безопасности, потянуло меня вернуться к теме умирающего выставочного бизнеса в нашей отрасли. Непосредственным толчком к написанию поста стала замечательная фраза в очередном приглашении на очередную выставку: «Поэтому на всякий случай я сама внесла вас в список зарегистрированных посетителей... Теперь вам достоточно просто распечатать и предъявить это письмо со штрихкодом на регистрации в павильоне выставки» (все особенности изложения сохранены). Вот и я, не посетив выставку, пополнил число «зарегистрированных посетителей», которых в очередной раз опять станет тысяч 5-6. Когда же оказываешься на выставке, видишь примерно следующее:
И это первая половина 3-го дня выставки! Выставка с тем же брендом в Лондоне выглядит примерно так:
А вот в «огромном» городе Утрехте «лидирующей» в этом сегменте рынка Голландии год назад аналогичная выставка выглядела так:
По аудированной отчетности, в Лондоне в этом году на выставке за 3 дня побывало 12,5 тыс. уникальных посетителей, на 19% больше, чем в прошлом году. В 2013 ждут (и, думаю, дождутся) 15 тысяч. В Утрехте в этом году на выставку пришли 7926 специалистов.
Почему ТАК? Причин много. Есть внешние, от нас не зависящие. Есть внутренние, обусловленные традиционным подходом к подобным мероприятиям.
Главная из внешних причин – российский рынок закрытый, зарегулированный и протекционистский, никому, кроме нас, не интересен. Солидарен с А.Лукацким. У меня после посещений компаний Силиконовой долины сложилось такое же впечатление – понять Россию там не могут и рисковать не хотят. Поэтому за восемь лет с момента первой подобной выставки в Москве в 2004 году, ставшей настоящим взрывом, с московских площадок ушли все серьезные западные вендоры и не пришли восточные.
Последними гвоздями в крышку сами знаете чего стал отказ от участия в выставке производителей антивирусных продуктов, в том числе российских, которые традиционно занимают на подобных экспозициях центральное место и самые большие площади. Лицензирование производства, сертификация продукции, ограничительные барьеры на ввоз криптографии, даже той, которая без ограничений используется во всем остальном мире, никак притоку экспонентов из-за рубежа не способствуют. Да и объем российского рынка средств защиты информации, как бы так помягче сказать, не тот, чтобы стоило тратить деньги на рекламу, локализацию и техническую поддержку продуктов на русском языке.
Но главные проблемы, как мне кажется, даже не эти, а сугубо внутренние. Российские производители особого смысла готовить к выставке запуск нового продукта не видят, а к полноценному показу уже имеющихся относятся с прохладцей. Соответственно, нет и интереса посетителей. Зачем? Если что-то хочется посмотреть, к серьезному заказчику мухой привезут в офис с презентацией, продактами и продавцами. А несерьезный, готовый купить по мелочи, продавцам не очень интересен. Да и с новинками по разным причинам не очень густо. Тема № 1 по количеству посетителей на стендах в Утрехте – облачные вычисления и безопасность облаков – 32% посетителей зашли и посмотрели. Тема № 3 - Mobile Device/BYOD Security, двадцати процентам это было интересно. У нас тоже эти темы в топах, но в конференц-части. Потому как на стендах продемонстрировать по этим направлениям нечего.
Вторая проблема – отечественные компании (в том числе дочки-внуки-племянники зарубежных) на выставках работать, как правило, не умеют. Если в Лондоне вы неосторожно встретились глазами со стендистом – все, не отвертитесь. Посещение стенда становится обязательным и неотвратимым. И пока вам не расскажут все, что считают нужным (а вдруг вам завтра понадобится), уйти не удастся. Причем стендисты ловят вас в проходах, на подступах и бегут навстречу, едва заметят взгляд в сторону стенда. В Москве до вас дела нет никому. Не хочу выкладывать фотографии играющих на компах, жующих и спящих работников стендов, дабы никого не обижать. Многие из читающих этот пост там были и сами видели.
Ну, и наконец, безумное решение о проведении двух полностью аналогичных выставок в одном, пусть и большом городе, с интервалом фактически в неделю. Гвоздь последний. Совершенно не хочу рассуждать на тему, почему и отчего. Ответы очевидны.
В предыдущие годы выставки жили за счет деловой программы. Аналога ей не было, да и нет. Но такая деловая программа может существовать только рядом с такими выставками. На простой вопрос «Кто будет платить за посещение тысяч людей?» ответы очевидны. Если вендоры – нередко получаем унылые рекламные выступления, которых и так выше крыши и с которых слушатели на других мероприятиях сбегают десятками после появления первых слайдов с ТТХ (хотя, конечно, есть умельцы, которые свой продукт желанной конфеткой представят – на тех же «Львах и гладиаторах» масса примеров, и зрители туда собираются). Если слушатели – то нет, они платить не будут. Во всяком случае, столько людей собрать в одном месте не удастся. За последние годы появилась масса отличных мероприятий совершенно нового формата и качества -у Позитививов, Диджитал секьюрити, Инфовотча. Они интересны и очень нужны, но они другие и о другом, конференций-выставок не заменят. Как и официоз Инфофорума, и тусовочность Инфоберега.
Что-то мне говорит, что мы теряем выставки-конференции. Очень жаль. На них временами и местами было очень интересно. На них поднимались вопросы, которые сложно обсуждать в другом месте и в форматах, редких для любых мероприятий. На них приходили все, кто хочет, а не те, кто заплатил или кого пригласили. На них было очень много «народного», наверное, другого слова подобрать не смог. Мне кажется, при желании можно, хотя и сложно, все поправить. Подумать об оформлении стендов, позволяющем понять, что конкретно там представляется. Поработать со стендистами, показать и рассказать им, как это делается во всем мире. Приберечь выход нового продукта и «выстрелить» им на выставке. Придумать нестандартное мероприятие на деловой программе, чтобы народ на него повалил. А можно ничего не делать. Свято место пусто не бывает. Но пока появится новое, пройдет время. Потерянного времени всегда жалко.

15 ноября 2012 г.

Спецкурс для кадровика: персональные данные и коммерческая тайна

Вчерашнее бурное обсуждение Постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» сначала на вебинаре, а потом на блоге и его зеркалах показало, что интерес к теме – огромный, а с пониманием того, что надо делать – несколько хуже. Проходило обсуждение в основном со знающими людьми в этой области – специалистами по информационной безопасности и ИТ, вынужденно занимающимися данной проблематикой.
Между тем, есть еще одна очень большая группа специалистов, для которой вопросы, связанные с персональными данными – предмет постоянной заботы, а часто – и головной боли. Это работники кадровых подразделений и юристы огромного количества предприятий и организаций.
Специально для них несколько лет назад мы вместе с Учебным центром «Информзащита» запустили однодневный учебный курс «Информационная безопасность для специалиста кадровой службы».
Помимо тематики персональных данных, на курсе рассматриваются вопросы охраны объектов интеллектуальной собственности, в первую очередь – секретов производства, регулирование их в трудовых договорах, в том числе – с руководителями предприятий, а также виды ответственности работников за разглашение и иное неправомерное использование охраняемой законом тайны. На реальных судебных примерах будут проанализированы трудовые споры, связанные с увольнением по части 6 ст.81 ТК РФ (разглашение охраняемой законом тайны или персональных данных другого работника), привлечение бывших работников к уголовной ответственности по ст.183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну).
В завершающей части курса рассматриваются вопросы государственного контроля и надзора в области персональных данных, регулирования надзорной деятельности Федеральным законом № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и административными регламентами надзорных органов.
И конечно, доступным и понятным языком мы расскажем о новом Постановлении Правительства № 1119, вступившем вчера в силу и уже наделавшем столько шума.
Курс – редкий, ближайший состоится 26 ноября в Учебном центре «Информзащита». Приходите. Присылайте своих коллег и работать подразделениям безопасности совместно с юридической и кадровой службами предприятия будет проще и эффективнее.

14 ноября 2012 г.

Постановление Правительства № 1119 по полочкам

Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования, уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", которое отменяет Постановление от 17.11.2007  № 781 вступает в силу. Семь дней со дня опубликования истекают.
Если честно, реакция коллег из профессионального сообщества на новое постановление, фактически определяющего систему построения технической безопасности обработки персональных данных в информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно понравилось, поскольку не содержит, по их мнению, ничего принципиально нового, и гайки дальше не закручивает, а количество требований по сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но очень обще, в основном за отсутствие конкретики.
У меня о требованиях сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем вебинаре, проводившемся нашим агентством совместно с компанией «Код Безопасности», и количество вопросов, поступивших по этому поводу, окончательно подтолкнуло меня к написанию этого поста.
Для того, чтобы систематизировать свое видение, я придумал несколько полочек, по которым свою оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно подбирал, так что категория читающих может быть и 0+.
Полочка первая. Соответствие закону. Выпуск в свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень резко оценить состояние дел на этой полочке. Постановление Правительства закону не соответствует. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов:
·         возможного вреда субъекту персональных данных,
·         объема обрабатываемых персональных данных,
·         содержания обрабатываемых персональных данных,
·         вида деятельности, при осуществлении которого обрабатываются персональные данные,
·         актуальности угроз безопасности персональных данных.
Виды деятельности, и, что особенно важно, вред субъекту в принятом документе вообще отсутствуют как квалифицирующие признаки. В п.7 Требований оператору  «совсем не гуманно», по другому сказать не могу, предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК. Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода (поскольку заниматься подобными проблемами в подобных организациях больше просто некому) будут оценивать вред от разглашения данных персонала, воспитуемых, посетителей и их родственников. При полном отсутствии в стране методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с подобными вопросами, знает, что проблема определения размера вреда при нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве. Но, видимо, вспомнив классический постулат о возможностях каждой кухарки, авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический пример перекладывания проблемы с одной головы на другую, сами знаете, каких.
С видами деятельности тоже засада. Принимая во внимание, что новая редакция закона не оставляет места для отраслевых стандартов работы с персональными данными, учитывать эти самые виды придется одним только способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а не предусмотреть какие-либо послабления, подобные тем, что в свое время согласовал со ФСТЭКом Минздрав в своих методических документах.
Полочка вторая. Методология. Полочка самая …плохо повешенная. Так как в методологии – самые главные, ключевые проблемы документа. Объявляя главными угрозами, неминуемо ведущими к установлению высших уровней защищенности (см. таблицу 1), недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, Требования не предлагают вообще никаких методов и способов их нейтрализации. Ибо такими способами может быть только проверка этого самого ПО на отсутствие закладок и прочих вредных привычек. А этого от операторов, во всяком случае в ПП-1119 никто не требует.
Таблица 1
Тип ИСПДн
Сотрудники оператора
Количество субъектов
Тип актуальных угроз
1
2
3
ИСПДн-С
Нет
> 100 000
УЗ-1
УЗ-1
УЗ-2
Нет
< 100 000
УЗ-1
УЗ-2
УЗ-3
Да
ИСПДн-Б
УЗ-1
УЗ-2
УЗ-3
ИСПДн-И
Нет
> 100 000
УЗ-1
УЗ-2
УЗ-3
Нет
< 100 000
УЗ-1
УЗ-3
УЗ-4
Да
ИСПДн-О
Нет
> 100 000
УЗ-2
УЗ-2
УЗ-4
Нет
< 100 000
УЗ-2
УЗ-3
УЗ-4
Да

Лечиться от логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами - клистиром с патефонными иголками и гипсованием непереломанных конечностей. См. таблицу 2.
Таблица 2
Требования
Уровни
защищенности
1
2
3
4
Режим обеспечения безопасности помещений, где обрабатываются персональные данных
+
+
+
+
Сохранность носителей персональных данные
+
+
+
+
Перечень лиц, допущенных к персональным данным
+
+
+
+
СЗИ, прошедшие процедуру оценки соответствия
+
+
+
+
Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн
+
+
+
-
Ограничение доступа к содержанию электронного журнала сообщений
+
+
-
-
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным
+
-
-
-
Структурное подразделение, ответственное за обеспечение безопасности персональных данных
+
-
-
-

Каким образом использование сертифицированных межсетевых экранов и назначение ответственного подразделения (или ответственного лица) может помочь предотвратить воздействие операционной системы на обрабатываемые данные знают, видимо, только авторы.
Полочка третья. Терминология. А это – самая загадочная часть документа. Откуда появились «сотрудники оператора» и почему они не работники, правовой статус которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что такое «электронный журнал сообщений» (п.15) и чем он отличается от «электронного журнала безопасности» (п.16), если отличается вообще – тайна есть великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.
Постановление вводит отсутствующее в законе понятие информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.
А если они получены по-другому, например, если это сведения, подлежащие опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты, подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.
Наконец, оценка соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе. Но даже если это Постановление оператор видел, понять, каким образом осуществляется оценка соответствия в ходе государственного контроля и надзора, ему не дано. И оценить последствия ожидания прихода контролера и его поведения при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой редакции закона нормативные правовые акты, касающиеся обработки персональных данных, подлежат официальному опубликованию.
Полочка четвертая. Применимость. Постановление может заработать в полном объеме только после принятия соответствующих актов ФСБ и ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты. Оператору в этих условиях выполнить установленные требования практически невозможно. Возвращаюсь к заведующей детсадом и начальнику отдела автоматизации трубопрокатного завода. Кто объяснит первой, что такое «недекларированные возможности системного программного обеспечения» и по каким признакам она будет оценивать актуальность этой угрозы? Что может заставить второго эти угрозы признать для своего завода актуальными и взвалить на себя дополнительные проблемы? Как они будут оценивать вред, о котором писалось при разборе первой полочки? Подождем документов ФСБ и ФСТЭК. Что-то мне подсказывает, что просто так отказаться от нейтрализации недекларированных возможностей не удастся. Банки и телеком в конце концов с этим разберутся. А что делать остальным, не имеющим профильных специалистов и лицензий ФСБ/ФСТЭК – школам и вузам, больницам и поликлиникам, ЗАГСам и центрам занятости населения, и пр., и пр.? Ничего, кроме оторопи, подобный документ у них вызвать не может.
Резюме писать не буду. И так все ясно.

7 ноября 2012 г.

Безопасность в Силиконовой долине

Страсть наших всевозможных охранных служб, бюро пропусков и даже обычных рецепшн к фиксации паспортных данных при посещении вполне безобидных офисных центров, далеких от размещения режимных предприятий и организаций, раздражает давно и основательно. На мой взгляд, у владельцев таких зданий отсутствуют какие-либо основания препятствовать посещению арендуемых офисов даже теми, у кого никаких документов нет, особенно если их встречает представитель принимающей организации. Много раз говорил и писал об этом. Но ситуация лучше не становится.
Обычной практикой, в Москве, во всяком случае, становится сканирование, копирование паспорта даже несколько раз за время посещения – на входе в здание, на этаж, а потом и в офис конкретной компании. Зачем это делается, и что потом происходит с персональными данными, никто объяснить не может. Субъектами оперативно-розыскной деятельности частные охранные фирмы и уж тем более секретари на рецепшн не являются, закона, дающего право такой фиксации, у нас в стране нет. Ну, да и бог с ними.
Я о другом.
Во время недавнего посещения компаний в Силиконовой долине я неожиданно получил косвенное подтверждение своих подозрений о наличии явно излишних требований безопасности, предъявляемых у нас в стране при организации допуска в коммерческие организации.
Итак, типовой вариант прохода в здание инновационной, передовой, современной компании где-нибудь в Купертино или Маунтин-Вью. Скрывать им, безусловно, есть что (эти самые пресловутые охраноспособные результаты интеллектуальной деятельности) – иначе бы они не стали знаменитыми «компаниями из Силиконовой долины». Но, тем не менее…
Вас встречает представитель компании, который организует встречу или переговоры. Вместе с ним подходите к рецепшн и от руки вписываете свои ФИО и название компании в Соглашение о неразглашении (NDA, Non disclosure agreement), бланки которого тут же лежат стопочкой. Девушка за стойкой вас фотографирует, вносит в компьютер указанные вами имя и фамилию и печатает бейдж гостя. Все. Охранников на горизонте не видно. На недоуменный вопрос: «А что, с ID (паспортом) сверять данные не будут?» следует не менее недоуменный ответ: «Вас же сопровождает представитель компании, зачем же еще нужен паспорт?». Подчеркиваю, мы уже и соглашение о конфиденциальности заключили. По умолчанию, даже если он об этом не просит, посетителю выдают логин и пароль для использования Wi-Fi на территории компании.
Далее – передвижение по офису с сопровождающим и без видимых ограничений, хороший бесплатный обед с трудовым коллективом. Кстати, в обеденную зону, как правило, можно зайти, минуя рецепшн. Работники на видных местах бейджей на видных местах не носят, бесплатный обед, как показалось, может получить любой желающий (хозяева такую возможность дружно подтверждали, но не видели в этом проблемы – так питание организовано практически у всех, посторонних в этих городах-мегаофисах практически нет). Встречи, переговоры, покидание здания без каких-отметок на выходе и сдачи бейджа. Кстати, США покидаются без паспортного контроля на вылете.
Людей в черном вокруг не видно. Никто не смотрит искоса, низко голову наклоня. Никто не интересуется документами. И что-то мне подсказывает, никто не страдает от несанкционированных действий посетителей, попыток кражи интеллектуальной собственности (в данном случае со стороны сопровождаемых гостей) и нарушений пропускного режима.
А в целом работать в Долине, похоже, здорово. Чистый воздух, широкие зеленые улицы, огромные парковки у каждого здания.  Бесплатные велосипеды почти у каждого офиса, раскрашенные в выбранные компаниями цвета, видимо, чтобы не перепутать по окончании рабочего дня. Вышел, сел на любой стоящий у здания, поехал, оставил у другого здания. 
В этом глубокий смысл – только у Google  в Маунтин-Вью зданий порядка сотни. И народ между ними в рабочее время с удовольствием передвигается на велосипедах. Дорогие машины на стоянках, раскованные хипстеры всех национальностей и цветов кожи. И все улыбаются. Они не думают о безопасности. Они думают о работе.

5 ноября 2012 г.

Последние изменения законодательства о персональных данных и Постановление № 1119

14 ноября в 11:00 совместно с компанией «Код Безопасности» наше агентство проводит уже ставший традиционным вебинар  «Изменения в законодательстве по защите персональных данных: как реализовать новые требования?».
В этот раз он будет особым – впервые мы рассмотрим требования к защите персональных данных при их обработке в информационных системах, установленные только что принятым Постановлением Правительства РФ от 01.11.2012 № 1119, попытаемся разобраться, чем они отличаются от тех, что содержались в утратившем силу Постановлении 2007 г. № 781, что ждать дальше и что надо делать уже сегодня. Участие – только после предварительной регистрации.
Для тех специалистов, которые заинтересованы в систематизированной и основательной подготовке по проблеме защиты персональных данных, в Учебном центре «Информзащита» 12-13 ноября проводиться будет мой авторский курс, в котором Постановление № 1119 будет рассмотрено подробно.