… о которой так долго говорили, свершилась?

Бесконечные дискуссии о самых разнообразных аспектах обработки персональных данных, ведущиеся последние пять лет везде, где только можно их вести, дали, наконец, реальные плоды. Даже самый последний двоечник и полный лузер теперь знают, что персональные данные – один из самых простых способов отъема денег у государства и его населения. То, о чем так долго говорили, свершилось?

Еще в начале лета тревогу забили специалисты аналитического подразделения нашего агентства, мониторящие публикации по вопросам информационной безопасности. Количество противоправных действий и преступлений, связанных с использованием паспортных данных, начало стремительно расти. Люди научились использовать обычные сведения из документов, удостоверяющих личность, для быстрого обогащения.

И вот уже способный житель Самары, приобретя на местной горбушке компакт-диск со сведениями о горожанах, оформил 78 ничего не подозревающих граждан к себе на работу, заключил с Центром занятости населения договор об участии в программе по организации временного трудоустройства безработных, предусматривающий их привлечение к общественным работам, и получил за это из федерального и областного бюджетов 2 млн. рублей. По похожей схеме действовали начальник отдела и ведущий инспектор Центра занятости населения ЮЗАО Москвы. Они подыскивали регистрационные и уставные документы фирм, которые не вели хозяйственную деятельность, предоставляли от их имени в Центр занятости заявки на участие в программе по организации временного трудоустройства безработных, а также паспортные данные лиц, желающих найти работу. Дальше – понятно: договор между Центром и предприятием, перечисление денег из центра и т.д. Пикантная подробность – один из участников группы, предприниматель, ранее судимый за мошенничество, обеспечивал получение в различных банках столицы банковских карт на «трудоустроенных» граждан, на которые казначейство Москвы перечисляло деньги. И никто в банках и казначействе ничего не подозревал. Такая вот слепая вера в честность.

Научились мошенники тянуть деньги из Российского союза автостраховщиков (РСА), предъявляя поддельные документы об уступке прав требования автовладельцами, пострадавшими в ДТП, которые были застрахованы в страховых компаниях с отозванными (и не только) лицензиями. И там речь идет о миллионах рублей. А вот страховая группа «Адмирал», лишенная лицензии на страхование автомобилей, «забыла» вернуть в РСА 21 тысячу чистых бланков полисов ОСАГО. Между тем, РСА уже выплатил компенсации по обязательствам «Адмирала» на сумму 27,9 миллиона рублей при общем объеме обязательств до 153 миллионов. По информации «Прайм-ТАСС», теперь мошенники предлагают потерпевшим выкупить у них право на получение выплаты от «Адмирала», а затем используют персональные данные страхователей и подложные документы для взыскания денег с РСА.

В Смоленской области пачками выдавали автокредиты на владельцев утраченных и похищенных паспортов. Украли у трех не самых последних российских банков 130 миллионов рублей знающие люди, среди которых советник по защите бизнеса ООО «РусфинансБанка», через который эти денежки и выводились. Похожим способом орудовали две дамы в Южноуральске. Одна из мошенниц, работавшая в салоне сотовой связи, оформляла потребительские кредиты по украденным паспортам, а другая на полученные кредитные средства приобретала телефоны, ноутбуки и сбывала их. По той же схеме действовал и кредитный эксперт одного из банков Якутска, также оформлявший фиктивные кредиты, используя паспортные данные клиентов.

Председатель правления Республиканской общественной организации по защите прав заемщиков Башкирии, получив (видимо, ввиду слабой осведомленности персонала в вопросах безопасности) сведения о 40 тысячах клиентов одного из банков г.Уфы, под угрозой их распространения и причинения ущерба деловой репутации банка потребовал от банка оплаты его знаний, умножающих скорбь – всего-то 10 млн. рублей, и оформления автокредитов на приобретение двух автомобилей «Мицубиси» общей стоимостью 4 400 000 рублей с условием погашения их банком. Ну, это по-нашему: кто что охраняет, тот то и имеет. Охранял права заемщиков, так что же, им, этим правам, а заодно и сведениям о владельцах, зря пропадать? Монетизировать их, монетизировать…

Это примеры всего трех летних месяцев. Список можно продолжать долго, но настораживает то, что количество случаев мошенничества идет по нарастающей. Все они прямо связаны с использованием паспортных данных граждан. Между тем их копирование паспортов приобрело в стране масштаб стихийного бедствия. Паспорта без всякого согласия и обоснования кладутся на ксероксы в гостиницах при заселении и в кассах при покупке билетов, при выписке пропусков в каждый захудалый офисный центр, который еще вчера был хлебопекарней, а сегодня охраняется как режимный объект, копируются они и при каждой операции в банке. Я тут вежливо поинтересовался, почему при закрытии депозитного счета, открытии нового и переноса на него денег без моего физического контакта с ними с паспорта пять раз сняли копию. Грозно сославшись на инструкцию Банка России, ознакомить меня с ней отказались.

Между тем, за все время действия ФЗ-152 «О персональных данных» (а это пять с половиной лет!) в России не вышло ни одного документа, хоть как-то регламентирующего порядок копирования паспортов, хранения и использования копий. И каждый раз гражданину приходится выбирать – поселиться в забронированную гостиницу или идти с чемоданом искать более лояльную, забрать деньги из банка в обмен на копию паспорта или оставить их банку навсегда. Казалось бы, вот оно поле для приложения усилий уполномоченного органа, защищающего права субъектов. Но пока все ограничивается вялым штрафованием банков за наличие на копии паспорта фото как биометрических данных, на что отсутствует письменное согласие владельца. А сами-то копии зачем сделаны и хранятся? И сколько их у банка? И как они учтены? Кем? Где?

Вопросы без ответов…

Можно, конечно, жаловаться. Но об том – в следующий раз.

Изменения законодательства в области информационной безопасности и практики его правоприменения

Обзор основных изменений российского законодательства за последний год и практики его правоприменения судами, прокуратурой и надзорными органами – основная цель вебинара, который пройдет 6 сентября 2012 года.

Вебинар ориентирован на специалистов, которые хотят получить общее представление обо всех произошедших в последнее время законодательных изменениях, а также понимание их влияния на бизнес организаций, в которых они работают.

Ведущий вебинара – М.Ю. Емельянников, Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры», автор более 200 публикаций в СМИ, по проблемам информационной безопасности, эксперт Консультационного совета Ассоциации российских банков по проблемам законодательства о персональных данных. Автор и тренер первых в России учебных курсов по вопросам защиты коммерческой тайны и персональных данных.

В программе вебинара:

• Наиболее значимые изменения российского законодательства в области информационной безопасности за последний год. Причины, направленность, возможные последствия изменений.

• Законодательство о персональных данных. Федеральный закон ФЗ-261 – новая редакция закона «О персональных данных», а не перечень поправок. Изменение базовых подходов к обработке персональных данных и правовых оснований для нее. Расширение круга персональных данных, доступных для неограниченного круга лиц и обрабатываемых без согласия субъектов (обязательное медицинское страхование, образование, исполнительное производство и др.).

• Есть ли в российских законах понятие конфиденциальной информации и что это такое?

• Ограничение доступа к информации о деятельности органов государственной власти и местного самоуправления. Его правомерность в условиях отсутствия закона о служебной тайне.

• Информационная безопасность при предоставлении государственных и муниципальных услуг в электронном виде. Обработка персональных данных при оказании государственных услуг.

• Информационная безопасность национальной платежной системы. Требования, регуляторы, ответственность.

• Лицензирование деятельности в области информационной безопасности – новый закон, новые положения.

• Обязательная сертификация средств защиты информации как форма оценки соответствия.

• Можно ли легально использовать зарубежные криптографические средства на территории России.

• Парадоксы правосудия – коммерческая тайна и персональные данные в российских судах. Закономерности и уникальные решения.

• Уступка прав требования и агентские схемы взыскания задолженности с физических лиц через призму персональных данных.

• Контроль, надзор и проверки. К чему готовиться, кого ждать.

Организатор вебинара - Учебный центр «Информзащита» обращает внимание заинтересованных специалистов, что системно, основательно и в прикладном аспекте вопросы, анонсированные в программе вебинара, рассматриваются в рамках различных курсов центра, в первую очередь – по тематике коммерческой тайны и персональных данных.

Вебинар состоится 6 сентября 2012 года, начало – 11:00. Продолжительность вебинара – 1,5 часа. Участие в вебинаре бесплатное, при условии предварительной регистрации на сайте Учебного центра «Информзащита».

Не по дороге с облаками

В течение последней недели как-то слишком часто попадаются статьи и заметки про облачные вычисления. Все, как на подбор – негативные, зато от людей и компаний, статус которых требует доверия как минимум. То Стив Возняк озаботится, то Гартнер холодненькой водичкой плесканет, а Наташа Храмцовская про это расскажет.

Периодические всплески интереса к любой теме – дело обычное. Но, почитав последние материалы, поймал себя на стойком déjà vu. Все это писалось и год, и два назад. Одними и теми же словами, применительно к одним и тем же ситуациям. С одной стороны, продавцы облачных сервисов убеждают нас, что корпоративные заказчики уже просто-таки рвутся в облака, с другой – за все эти годы нет ни одного внятного, обоснованного и убедительного ответа на крайне простые, очевидные вопросы:

1. Что происходит с данными, загруженными в облако, после выполнения действий, назначенных заказчиком (обработки, проведения вычислений, нажатии клавиши Delete на компе пользователя, работающего с облачной инфраструктурой)?

2. Какими конкретно механизмами обеспечивается разграничение доступа к информации в облаке между пользователями всех этих SaaS/IaaS/PaaS и вообще XaaS, кто и как подтвердил их надежность?

3. Что там с виртуальной архитектурой внутри облака, атаками на гипервизор, супер-пользователями и почему бы им не продать нашу информацию конкурентам, которые получают все по запросу здесь же?

4. Кто и как управляет ключами шифрования при закрытии канала передачи данных в облако? Почему это не АНБ/ЦРУ/Моссад/ФСБ/BND/MI5-MI6 (список продолжите сами)?

Перечень вопросов, сами понимаете, не исчерпывающий. И касается он только конфиденциальности. Но, как только вы поднимаете глаза вверх и смотрите на белогривых лошадок, у любого ИТ- или ИБ- директора в здравом уме и твердой памяти появляются нехорошие мысли про доступность и целостность. Перечень вопросов стремительно растет:

5. Кто конкретно и как отвечает за неизменность ваших данных в облаке? Чем это подтверждается?

6. Что вы будете делать, когда у вас не окажется доступа к интернету?

7. Что вы будет делать, когда провайдер откажет вам в услуге?

8. Что вы будете делать, когда ваши данные бесследно исчезнут?

9. Что вы будете делать, когда решите «найти себе другого провайдера, честного» и мигрировать к нему? Как вы перенесете свои данные и перенесете ли вообще?

Все эти годы вдвижения новых сервисов в умы и деньги заказчиков вместо ответов мы получаем то, что классик мировой революции называл эклектической похлебкой – общие слова про колоссальный опыт и ответственность разработчиков, огромное количество специфических облачных решений безопасности, описать которые «в данном интервью (статье, выступлении) не представляется возможным из-за ограничений во времени» (при том, что 95% их – маркетинговая лапша на уши), про неизбежность научно-технического прогресса и светлое будущее аутсорсинга всего, не относящегося к основной деятельности – в частности.

Я сам на всех своих курсах, переходя к разделу аутсорсинга безопасности, говорю о том, что история развития человечества – это история развития аутсорсинга, от первобытно-общинной семьи с забитым мамонтом как основным средством существования через коврики под автомобилями 20 века в воскресные погожие дни к «Check engine. Code 235709» сегодня. Все так.

Но отсутствие внятных ответов на все выше поставленные вопросы заставило меня вернуться к собственному посту и презентации годичной давности.

Я не нашел не только 33, но и 3 отличия от того, что происходит сегодня. Для информационных технологий и информационной безопасности с точки зрения нейтрализации возникающих угроз год – период огромный. И если за это время на технологические вызовы нет соответствующей реакции, зато заметен рост агрессивности маркетинга, это неспроста. И у меня, как безопасника, появился новый вопрос. Провайдеры облачных услуг, а как и где заказчик может познакомиться с логами событий безопасности, связанными с его конкретно данными? Они вообще-то есть? И как там с таргетированными атаками, всякими новыми Stuxnet’ами, Flame’мами, Gauss’ами? Ведь красть с колхозного поля всегда легче, чем с личной делянки - оно большое, с чужой картошкой и спать хочется в конце концов.

Боюсь, что до получения не просто ответов, а обязательств, закрепленных в договорах с провайдерами, публичные облака останутся областью применения для почтовых сервисов и личных файлов, а про международные корпорации, перенесшие в них свою информационную инфраструктуру (названия, по понятным причинам, не раскрываются), нам придется верить продавцам воздуха облаков на слово. Публичных, потому что чем отличается частное облако от обычного коммерческого ЦОДа, я внятных объяснений за все это время, ни разу так и не услышал. Ну, кроме системы расчетов за представленные услуги, конечно.

Опять про фото, биометрию и исполнительное производство

На сайте Службы судебных приставов вчера появилась интересная публикация.

В ней сообщается, что Роскомнадзор в ответ на обращение директора Федеральной службы судебных приставов А.О.Парфенчикова дал заключение, что судебные приставы имеют право распространять фотографии должников. Попутно там же сообщается, что фотографии относятся к  биометрическим персональным данным, поскольку характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

На сайте Роскомнадзора и портале «Персональные данные» найти следов этого ответа судебным приставам не удалось.

Между тем сообщение весьма знаковое. В нем содержится целый ряд серьезных выводов, применение которых на практике может иметь значительные последствия.

Первое. Фотография – не важно какая - цифровая или аналоговая на бумаге – это биометрические персональные данные. Я, собственно, давно в этом был уверен при одной оговорке – это биометрия, оборот которой регулируется ФЗ-152 «О персональных данных» только в случаях, когда фото используется оператором для установления личности субъекта. Поэтому паспорт (не биометрический в том числе), пропуск с фотографией и листовка «Разыскивается» - суть носители биометрических персональных данных.

Второе. ГОСТ Р ИСО\МЭК 19794-5-2006, на который так любят ссылаться некоторые оппоненты, проводя границу между фото-биометрией и фото-не биометрией, абсолютно не при чем. Можно по фото опознать человека (установить личность) и оно используется именно для этого – значит, биометрические персданные.

Третье. Фото, подпадающее под это определение, может быть абсолютно любым - из документа, личного дела, бытовое, в том числе выложенное в социальной сети самим субъектом. Про использование социальных сетей для поиска должников приставами уже написано-переписано много чего. Какое найдут приставы фото – то и будут использовать для размещения там, где посчитают нужным. И это мне также представляется совершенно очевидным.

И, наконец, самое важное – четвертое. И с ним далеко не так просто, как с первыми тремя выводами. Приставы ссылаются на часть 2 ст.11 ФЗ-152, допускающую обработку биометрических персональных данных без согласия субъекта в связи с исполнением судебных актов. Вопросов нет – приставам согласия должника на использование (вид обработки по закону) его фото, конечно,  получатьне надо. Но, как известно, в ФЗ-152 содержится масса норм, допускающих сколь угодно широкое их толкование. К способам обработки персданных относится, в том числе, и их распространение – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Т.е. формально все вроде бы пока правильно.

Но, с другой стороны, опубликование персональных данных в том смысле, как оно видится в сообщении Службы судебных приставов – это включение биометрических персональных данных в общедоступные источники, типа доски почета за территорией завода, но только наоборот. А на это надо уже письменное согласие субъекта, которое может быть в любое время отозвано. Исключение из этого правила – в п.11 части 1 ст.6: обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом. А вот тут - загвоздка. С 1 января этого года вступили в силу изменения в Федеральный закон от 02.10.2007 N 229-ФЗ «Об исполнительном производстве», предусматривающие создание и ведение Федеральной службой судебных приставов, в том числе в электронном виде, банка данных, содержащего сведения, необходимые для осуществления задач по принудительному исполнению судебных актов, актов других органов и должностных лиц.

Проблема же в том, что закон (статья 6.1) определяет исчерпывающий, закрытый перечень сведений этой самой базы данных, которые являются общедоступными. Ну, и вы, конечно, уже догадались – фото в этом перечне нет. Совсем.

Не в первый раз органы исполнительной власти расширили сферу применения федерального закона на основании своего мнения, писем и заключений. Но что-то подсказывает, в этот раз просто не получится. 

Пятничное: к открытию Олимпиады в Лондоне

Сегодня вечером открытие Олимпиады, если кто не знает.  В Лондоне к ней тщательно готовились, уделяя особое внимание теме безопасности, которая так близка, думаю, всем читателям моего поста. Даже ракетные комплексы «земля-воздух» на крыши домов поставили.

Иллюстрацией к тому, насколько это все серьезно, может служить происшествие, свидетелями которого стали наши хорошие знакомые, живущие в самом центре Лондона.

Итак, дорогой, престижный район. Рядом – знаменитая Бейкер-стрит, с крыши трехэтажного особнячка, где знакомые и проживают, видны Хэрродз и Сэлфриджес.

И вот в начале этой недели детишки соседей решили поиграть. В войнушку. Достали из своих детских арсеналов лучшие образцы стрелкового вооружения, проверенные калаши и М16, и отправились на операцию …, ну конечно же, на крышу этого самого дома.

Бой был жарким, но недолгим. Через несколько минут над крышей завис полицейский вертолет. Еще через несколько узенькие переулки чинного фешенебельного квартала забили восемь полицейских машин, из которых повыскакивало человек 15 полицейских (остальные остались на подстраховке внизу, блокировав все пути к отступлению). После короткого штурма крыша была взята под контроль, а детишки – под охрану. Через некоторое время приехал следователь. Любопытных соседей, интересовавшихся неожиданными событиями во всегда тихом доме, попросили оставаться в квартирах. Особо любопытным, пытавшимся подсматривать в дверные глазки, лондонские «бобби» эти самые глазки заклеили. Снаружи, естественно – никакого незаконного вторжения.

В общей сложности операция по блокированию малолетних террористов, включая следственные действия, продолжалась 4 часа.

Жертв и пострадавших не отмечено. Оружие, похоже, изъято. Вертолет улетел.

Олимпиада откроется сегодня, 27июля (точнее, уже завтра), в 00 часов Москвы. Хороших вам выходных. У телевизора с Олимпиадой. Она под надежной защитой.

Вебинар: Типовые ошибки операторов при построении системы защиты персональных данных

Во вторник, 24 июля компания «Код Безопасности» проводит бесплатный вебинар «Типовые ошибки операторов при построении системы защиты персональных данных. Способы решения проблем соответствия требованиям 152-ФЗ». Ну, а рассказывать про типичные ошибки и способы достижения соответствия требованиям регуляторов буду я.

В основе семинара – обзоры типичных нарушений, выявляемых в ходе контрольной и надзорной деятельности, в первую очередь – ФСБ России и ФСТЭК России, поскольку речь пойдет, в основном, о проблемах технической защиты. Бытует расхожее мнение о том, что до наделения этих органов соответствующими полномочиями на предприятиях и в организациях, не являющихся государственными, проверок с их стороны ждать не стоит. Да и планы проверок этих уважаемых федеральных служб составлены так, что разобраться в них сложно – в плане ФСТЭК на 2012 год среди поставленных целей проверки выполнения требований по защите персональных данных нет, а в плане ФСБ проверяемые вопросы вообще не указаны, и узнать из него, какие проверки будут проводиться именно по тематике персональных данных, нельзя.

Но есть еще сайт Генеральной прокуратуры, на котором размещен «Сводный план проверок субъектов предпринимательства на 2012 год». И пусть вас не смущает название – в плане есть сведения не только о проверках коммерческих организаций, но и органов власти. Построен он, правда, в виде поисковой системы, а среди параметров поиска целей проверки или проверяемых вопросов нет. Но если надо узнать, включена ли в план конкретная организация, и кто ее будет проверять, сделать это довольно легко. Можно попробовать и навскидку. Так, при вводе всего двух параметров – субъекта федерации и надзорного органа, можно выяснить, что из пяти проверок ФСБ, например, в Республике Адыгея три посвящены контролю за выполнением хорошо знакомого всем читателям Постановления Правительства № 781, т.е. как раз защите персональных данных с использованием криптографических средств.

Деятельность ФСБ и ФСТЭК в области персональных данных не так публична, как Роскомнадзора. Но кое-что узнать о ней все-таки можно. Я уже писал, что в этом году в «Отчет о деятельности Уполномоченного органа по защите прав субъектов персданных за 2011 год» включены сведения о проверках этих федеральных служб. Есть еще публичные выступления на различного рода конференциях и редкие статьи в специализированных изданиях.

На базе всего этого материала и будут проанализированы типичные недостатки при построении подсистемы безопасности информационных систем персональных данных, вызывающие претензии регуляторов, а к ним добавим еще и те ошибки, которые иногда выявляются в ходе проектной деятельности и связаны с подходом самого оператора персональных данных к их обработке. Т.е. говорить мы будем про грабли в траве, наступать на которые смысла никакого нет.

Предвижу ехидные записи, появляющиеся на подобных проводимых мною вебинарах в чате: «Рекламная пауза!». Да, «латание дыр» и эффективные решения будут проиллюстрированы примерами с продуктами компании «Код Безопасности». Если кто-то ждет чего-то другого от бесплатного вебинара, организуемого и проводимого вендором, стоит задуматься над адекватностью восприятия мира J и воздержаться от участия в этом мероприятии

Регистрируйтесь. На прошлом вебинаре было более 200 слушателей. Мест, как показывает опыт, может не хватить тем, кто решит поучаствовать слишком поздно.

Безопасность критически важных объектов. Послесловие

После публикации Cnews комментариев к «Основным направлениям государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» в наше агентство поступает много вопросов, связанных с этим документом.

Поскольку, по понятным причинам, портал опубликовал только часть из наших комментариев, и тема вызывает живой интерес, наш полный текст публикуем ниже.
_____

Безопасность АСУ ТП в целом, и тем более на критически важных объектах инфраструктуры, - одна из наиболее острых проблем на сегодняшний день, и государственное регулирование этих вопросов, безусловно, необходимо.

Очень важным представляется предусмотренное «Основными направлениями…» создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов.

К другим достоинствам документа я бы отнес выдвижение требований к разработчикам систем АСУ ТП и введение ответственности за нарушение порядка их разработки, однако, учитывая, что большинство из них – зарубежного производства, не ясен порядок реализации этого требования.

Документ четко определяет необходимость использования механизмов лицензирования и сертификации при обеспечении безопасности автоматизированных систем управления критически важными объектами (КВО).

Проблемы – нет исчерпывающего перечня критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации. Т.е. что делать – определяется, а вот кому – пока не ясно.

Безопасность критической информационной инфраструктуры рассматривается почему-то только с точки зрения защищенности от компьютерных атак, а вот угрозы не антропогенного характера – стихийные бедствия, катастрофы на объекте, пожары, угрозы терроризма, не связанные с компьютерными атаками, почему-то в качестве угроз не рассматриваются, хотя они весьма и весьма реальны и могут привести к катастрофическим последствиям.

Не ясен механизм предусмотренного документом недопущения технологической или иной зависимости от иностранных государств при осуществлении деятельности в области обеспечения безопасности автоматизированных систем управления КВО в условиях, когда большинство используемых в России систем АСУ ТП (SCADA) – зарубежного производства, а Минсвязи, в лице нового министра, говорит о нецелесообразности продолжения работ по созданию национальной программной платформы. Да и предусмотренное «Основными направлениями…» создание условий, стимулирующих развитие на территории Российской Федерации производства телекоммуникационного оборудования, устойчивого к компьютерным атакам, без создания реальных преференций разработчиками и их государственной поддержки может остаться только лозунгом.

Пункт 10 «Основных направлений…» предусматривает выполнение очень большого объема работ, который может быть профинансирован и реализован только государством, однако об источниках финансирования в документах нет ни слова.

Совершенно непонятны методы реализации предусмотренных п.12 мер, связанных с квалификацией руководителей и персонала объектов, осведомленностью граждан в области информационной безопасности, тем более, что системы аттестации в области ИБ в нашей стране нет вообще, а задача «формирования в общественном сознании нетерпимости к лицам, совершающим противоправные деяния с использованием информационных технологий» представляется совершенно абстрактной.

В нарисованной в п.17 дорожной карте реализации «Основных направлений…» не просматриваются работы по определению требований к безопасности АСУ ТП КВО, в том числе – к их разработчикам, что очень удивительно.

И, наконец, в документе вообще не упоминается ФСТЭК России, фактически все функции реализации программы возлагаются на ФСБ России, в зоне ответственности которой ранее были только криптографические средства защиты и информационная безопасность высших органов власти. Между тем, реализация «Основных направлений…» требует принятия большого количества нормативно-правовых актов, часть которых, в соответствии с действующими документами, входит в компетенцию ФСТЭК России.
_____

Также мы можем порекомендовать познакомиться с интересной, на наш взгляд, точкой зрения Алексея Лукацкого.

Безопасность критически важных объектов: процесс пошел!

Почти год назад я написал большой пост про автоматизированные системы управления технологическими процессами (АСУ ТП) и колоссальные опасности, связанные со злоумышленным вмешательством в их работу. С тем, что тема крайне важная, соглашаются в последнее время все эксперты. Привлекла она, наконец, и внимание Совета безопасности, принявшего 12 июля «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации». Новый документ сегодня подробно комментирует CNews.

Так что, коллеги, процесс пошел и, может быть, недалеко то время, когда приоритетом общества и государства станет обеспечение реальной безопасности ее граждан.

Читая приговоры…

Лето оказалось совсем не отпускным. Столько работы в это время еще никогда не было. Особенно активизировался интерес к коммерческой тайне. В ходе одного из проектов пришлось детально разбираться с решениями и приговорами судов по поводу разглашения коммерческой тайны.

Из них можно вынести много весьма полезной информации о том, как воспринимаются судами аргументы сторон при разборе подобных дел, и что надо учесть (куда соломки подстелить), если одной из задач установления режима является возможность привлечения виновного в нарушении исключительных прав на секрет производства к дисциплинарной, административной или уголовной ответственности. Я как-то об этом писал, но появились и новые решения.

Итак, первое и главное. В последние пару лет суды научились анализировать полноту принятия мер по установлению режима, предусмотренных частью 1 статьи 10 ФЗ «О коммерческой тайне» и организации работы с информацией, составляющей коммерческую тайну (ИКТ), предусмотренных частью 1 статьи 11. Это очень радует, поскольку ранее судьи в это особо не вникали. К примеру, не признается законным увольнение работников по п.п. «в» пункта 6 ст.81 ТК РФ (разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей), если даже часть режимных мер не принята – нет учета лиц, получивших доступ к ИКТ или грифов на документах в электронном виде. Можно высекать на граните и ставить на проходной организации цитату из одного приговора: А.Б.В. «не может нести неблагоприятные последствия за бездействие других работников этого юридического лица, ненадлежащую организацию с их стороны работы по охране сведений конфиденциального характера, невведение обладателем информации в отношении нее режима коммерческой тайны».

Суды, как с этим не пытаются спорить некоторые коллеги, принимают доказательства неправомерных действий, собранные службой безопасности или ИТ-подразделением пострадавшего работодателя, - электронные письма, копии баз данных, даже логи, причем, по понятным причинам, к электронным письмам отношение гораздо более благосклонное, чем к логам. А вот конструкции типа «мог предположить, что данные сведения составляют», «имел основания полагать», «другие лица, кроме него, не могли», отметаются напрочь. Как замечательно написано в одном из приговоров, «предположительные доводы органа предварительного следствия и стороны государственного обвинения о наличии в действиях А.А.А. состава преступления, не основаны на нормах материального и процессуального права и не могут быть положены в основу обвинительного приговора суда». А в одном из процессов суд напомнил работодателю, что такого основания для отстранения от работы, как разглашение секретов, Трудовой кодекс не предусматривает (см.ст.76 с исчерпывающим перечнем оснований).

Весьма значительная часть судебных процессов посвящена краже, выносу, уносу, продаже, передаче клиентских баз. Недаром профессия «менеджер по продажам со своей базой» - самая востребованная на рынке труда. При этом, определяя обладателя охраняемой информации и возможность ее независимого получения самостоятельно одной из сторон, суды стали сравнивать оспариваемые сведения, и, при наличии большого количества совпадений, принимать сторону того, от кого эта информация ушла к конкуренту.

Есть совершенно замечательные решения. Суд посчитал отправку работником письма с персональными данными другого работника со своего служебного почтового ящика на свой же почтовый адрес публичного сервиса www.mail.ru разглашением. Читаем внимательно: «Пользовательским соглашением, текст которого размещен на сайте www.mail.ru, в соответствии с условиями которого ООО «Мэйл. Ру» может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 ФЗ "Об информации, информационных технологиях и защите информации" названная компания является обладателем информации». Вот так. Поэтому увольнение по тому же п.п. «в» пункта 6 ст.81 ТК РФ (разглашение персональных данных другого работника) суд посчитал правомерным, причем доказательства отправки сам работодатель в суд и принес. На заметку всем обладателям охраняемой законом информации. Открывается новый пласт ограничительной деятельности, особенно для тех, кто допускает использование публичных почтовых сервисов.

В связи с этим очень интересным представляется еще одно решение. Определяя обязанности своего работника по охране коммерческой тайны, обладатель обязал его «не распространять сведения, составляющие конфиденциальную информацию, следующими способами: устно, письменно, в средствах массовой информации». А он отправил их «электронным способом, не охватываемым условиями Соглашения о конфиденциальности, соответственно чему доказательств распространения работником конфиденциальной информации способами, предусмотренными Соглашением о конфиденциальности, суду ответчиком не представлено». А? Каково? Я всегда говорил, что в защите информации ограниченного доступа 80% работы связано с правовыми и оргмерами, и только 20% - с техническими.

И, наконец, про технические меры. Сложилось впечатление, что будь у пострадавших от неправомерных действий инсайдеров поставленная система контроля-блокирования-логирования, и дел самих могло бы не быть, а уж если случилось бы – в суде выиграли бы точно.

Замечательная коллекция

Постепенно складывается замечательная коллекция – паспортно-визовый центр, исправительная колония и т.д.

ФГУП «Паспортно-визовый сервис» ФМС России привлечено к административной ответственности за непредставление сведений об обработке персональных данных - http://64.rsoc.ru/news/news38330.htm.

Управлением Роскомнадзора по Республике Мордовия в отношении Федерального казенного учреждения «Исправительная колония № 13 Управления Федеральной службы исполнения наказаний по РМ» составлен и направлен мировому судье для рассмотрения административный протокол по статье 19.7 КоАП РФ за непредставление в государственный орган сведений, предоставление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности - http://rsocnews.ru/2012/05/28/post11270/.

Интересно, как все это влияет на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну», ради которых принят 152-ФЗ «О персональных данных», и кому не ясно, что все подобные организации (как и все юрлица) обрабатывают персональные данные? Может, не надо мешать им работать и делать дело, предписанное законом?

Что день грядущий... Или ждать ли изменений требований к средствам защиты персональных данных?

Именно такого рода вопросы я часто получаю в последнее время. Информация ниже – мой ответ для интересующихся этой темой.

Появилось огромное количество публикаций относительно темы обязательности сертификации средств защиты персональных данных. Отсутствие слова «сертификат» в новой редакции Федерального закона «О персональных данных», Постановлении Правительства России № 781 2007 года и даже в Приказе ФСТЭК России № 58 постоянно рождает надежду, что можно придумать какой-нибудь другой способ подтверждения соответствия, который не привел бы к конфликту с регулятором в ходе проверки, и не был бы связан с обязательной сертификацией средств защиты в системах ФСБ и ФСТЭК, изначально созданных под государственную тайну.

Мои рассуждения на тему можно ли найти другой способ подтверждения соответствия, который не привел бы к конфликту с регулятором в ходе проверки, и не был бы связан с обязательной сертификацией средств защиты – в статье, опубликованной компанией «Код безопасности».

Как построить типовой проект системы защиты персональных данных на среднем и малом предприятии

В связи с усилением надзорной деятельности за соблюдением законодательства о персональных данных, обеспечением безопасности информационных систем, содержащих персональные данные, стали заниматься и организации сегмента среднего и малого бизнеса. Для большинства из них не только техническая защита персональных данных, но и обеспечение информационной безопасности в целом – дело абсолютно новое и неизведанное.

Для тех, кто хочет сориентироваться в проблеме, определить для себя примерный план действий, 28 июня  компания «Код безопасности» при нашем участии проводит вебинар «Типовой проект по построению системы защиты персональных данных на среднем и малом предприятии. “Подводные камни” и сложности выполнения требований законодательства». В своем выступлении я остановлюсь на тонкостях построения подсистемы безопасности в небольших организациях, большинство из которых имеет подключение к Интернет, активно использует электронную почту, а иногда и технологии виртуализации. Как не потратить лишнего, которого не бывает, но и выполнить требования госрегуляторов – одна из тем, которая будет затронута на вебинаре.

Участие в вебинаре бесплатное при обязательной предварительной регистрации.

Защита информации в национальной платежной системе: новые-старые требования

Пока мы, в очередной раз, наблюдали за тем, как немотивированные футболисты во главе с обиженным на всех тренером сливали воду в Варшаве, жизнь шла своим чередом.

На сайте Правительства Российской Федерации появилось подписанное 13 июня 2012 года его Председателем Постановление № 584 «Об утверждении Положения о защите информации в платежной системе», которое вступает в силу с 1 июля 2012 г.

Как и предусмотрено п.1 ст.27 ФЗ «О национальной платежной системе», Положение устанавливает требования к защите информации:

· о средствах и методах обеспечения информационной безопасности,

· о персональных данных,

· об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе.

Самый главный вопрос, возникающий при изучении Положения, - тот же, что и был к ФЗ «О национальной платежной системе»: требования к защите банковской тайны, которую обязаны гарантировать операторы и агенты (субагенты), будут установлены Банком России, исходя из смысла части 3 той же статьи 27 закона, или же банковская тайна – «иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации»? Если последнее, то защиту каких сведений будет определять Банк России?

Требования к защите информации с 1 июля 2012 года, как это предусмотрено ФЗ «О национальной платежной системе», должны включаться операторами в правила платежных систем и предусматривать в обязательном порядке (располагаю не в том порядке, как это указано в Положении, а исходя из своего понимания логики действий):

· наличие структурного подразделения по защите информации (службы информационной безопасности) или специально назначенного должностного лица, ответственного за организацию защиты информации;

· риск-ориентированный подход к обеспечению безопасности, что вполне соответствует обязательности создания системы управления рисками в платежной системе;

· определение угроз безопасности информации и анализ уязвимости информационных систем;

· наличие системы защиты информации в информационных системах;

· обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования (тонкая аллюзия на необходимость защиты при передаче данных через интернет?);

· применение средств защиты информации; определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;

· наличие у операторов и агентов локальных правовых актов, устанавливающих порядок реализации требований к защите информации;

· обязанности по выполнению требований к защите информации в должностных обязанностях работников, участвующих в обработке информации;

· выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;

· организация, проведение контроля и оценка выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года (самостоятельно или с привлечением лицензиата в области ТЗКИ).

Следующая неожиданность: перечень средств защиты выглядит исчерпывающим (традиционных слов «и другие», «и иные» в тексте Положения нет) и включает в себя:

· шифровальные (криптографические) средства,

· средства защиты информации от несанкционированного доступа,

· средства антивирусной защиты,

· средства межсетевого экранирования,

· системы обнаружения вторжений,

· средства контроля (анализа) защищенности.

Все! Требования об обязательности оценки соответствия СЗИ нет! Читаем еще раз внимательно. Нет такого требования. А вот что это значит – пока совершенно непонятно. Если с защитой персональных данных при осуществлении платежей есть некоторая ясность – меры обеспечения их безопасности определены специальным законодательством, которое в совокупности фактически требует обязательной сертификации СЗИ, то как быть с «иной информацией, подлежащей обязательной защите в соответствии с законодательством Российской Федерации» и что это за информация вообще, будет выясняться, как обычно, по ходу правоприменения.

Фраза «Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации» похоже, является намеком на то, что деятельность по ТЗКИ по-прежнему является лицензируемой.

Последний пункт Положения предусматривает, что применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации. Т.е. опять – только общие слова и, как следствие, неизбежные бесконечные дискуссии специалистов о допустимости использования SSL и TLS, реализующих RSA и прочую заморскую «непонять», электронных средств платежей зарубежной разработки со встроенной в них криптографиейо том, как не нарушить закон при трансграничном переводе денежных средств и т.д.

Порядок действий оператора платежной системы при реализации требований закона и вводимого в действие Положения представляется следующим. Оператор:

1. Назначает у себя структурное подразделение (возлагает на службу информационной безопасности) или должностное лицо, ответственное за организацию защиты информации в платежной системе.

2. В соответствии с выбранной организационной моделью управления рисками в платежной системе (ст.28 закона) определяет свою зону ответственности за риски, связанные с информационной безопасностью, выявляет и обрабатывает риски на основании моделирования угроз и выявления уязвимостей (не забываем про не антропогенные угрозы!) и/или получает информацию о необходимости обработки рисков, выявленных операторами услуг платежной инфраструктуры и участниками платежной системы, а также расчетным центром, если функции по оценке и управлению рисками переданы ему.

3. Самостоятельно (при наличии лицензии на ТЗКИ) или с привлечением лицензиата проектирует систему защиты информации в своей информационной системе, обеспечивающую снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности с использованием набора средств защиты, перечисленных в Положении. При этом оператор помнит о возможности перехвата информации при осуществлении электронных платежей через сети связи общего пользования и интернет (а как иначе их осуществлять) и поднимает для этого криптографические протоколы, в том числе несертифицированные, если может обосновать законность их ввоза и использования.

4. Исходя из результатов обработки рисков и наличия актуальных угроз, в первую очередь – исходящих от его собственного персонала, устанавливает правила доступа к средствам обработки информации и определяет используемые для этого средства.

5. Разрабатывает пакет локальных нормативных документов, описывающих все сделанное выше, в том числе - распределяющих и описывающих обязанности конкретных пользователей системы.

6. Организует мониторинг за выполнением установленных правил, выявление инцидентов и систему реагирования на них, причем документирует результаты этой работы не реже 1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (мы помним о том, что в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).

Вот так, примерно. Ничего или почти ничего нового, за исключением заявленного риск-ориентированного подхода. Схема знакома, опробована и закреплена в большом количестве актов. За работу, товарищи участники платежной системы!

О мерах повышения безопасности систем дистанционного банковского обслуживания

Вчера выступал на Инфофоруме по вопросу минимизации рисков, связанных с атаками на дистанционное банковское обслуживание (ДБО). Поскольку самый распространенный вопрос, как обычно, – «Можно ли получить Вашу презентацию?», отвечаю всем сразу – можно. Выкладываю.

При обсуждении выступлений произошла занятная дискуссия с участием В.А. Конявского (ВНИИПВТИ /Физтех /ОКБ САПР), С.Л. Груздева (компания «Аладдин Р.Д.»), В.А. Гамзы (Национальная ассоциация кредитных брокеров и консультантов) и моим участием о гарантированной и вероятностной безопасности, доверенных средах на недоверенном оборудовании и допустимых пределах рисков. В роли арбитра, сдерживающего боксирующих,  выступил исполнительный директор ассоциации российских банков Т.Н. Аитов. Травм не было. А спор показался интересным.

«Безопасность электронного бизнеса: от пользователя до виртуальной инфраструктуры».

2 позитивных дня

Закончились два позитивных дня Positive Hack Days. Пишут и напишут об это очень-очень много. И поделом. То, что придумали и сделали ребята и девушки всего одной компании-игрока рынка, аналогов в России не имеет. Ни по количеству участников, ни по разнообразию тематики, ни по формам проведения. Спикеры со всего мира с великим Брюсом Шнайером во главе. Доклады, панели, круглые столы, мастер-классы и практические демонстрации. Конкурсы и соревнования. Площадка для молодых ученых, битвы взломщиков-защитников и, рядом, поиск ценной информации в горах бумажного мусора и поиск человека в толпе участников по неким идентифицирующим признаком.  Только перечисление того, что было, требует места, отводимого на стандартный пост. А как работали сотрудники Positive Technologies, обеспечивая проведение всего этого! Здорово и спасибо!

Ну, и наш скромный вклад – «Когда и почему невозможно не нарушить 152-ФЗ…».

Не останавливаясь на негативе, который каждый сам может посмотреть в презентации (см. ниже), предлагаю только позитивное (перечень не исчерпывающий). Закон надо менять. Обязательно.

В первую очередь, надо отказаться от:

·         технического и технологического регулирования;

·         обязательности выполнения формальных требований, не учитывающих особенности деятельности оператора;

·         привлечения к ответственности за невыполнение требований в случае отсутствия инцидента;

·         института уведомления, так как любое юрлицо-оператор персональных данных;

·         обязательного лицензирования деятельности, вмененной законом в обязанность;

·         правового обоснования возможности обработки в случаях, когда без персональных данных деятельность юрлица невозможна (данные работников, обучаемых, пациентов, пассажиров и т.п.);

·         недопустимых барьеров на пути электронной коммерции.

Что надо оставить из действующей редакции закона:

·         обязанность использовать персональные данные не во вред субъекту;

·         обязанность компенсировать субъекту ущерб в случае инцидента с его персональными данными (но не в случае несоблюдения формальных правил);

·         обязанность соотносить состав и объем обрабатываемых персональных данных с целями их обработки;

·         право субъекта на доступ к своим персональным данным;

·         возможность государства регулировать обработку персональных данных в государственных и муниципальных системах.

Что надо изменить в подходе к защите персональных данных, устанавливаемом законом:

·         обеспечить баланс интересов субъекта, оператора и государства;

·         исходить из соотнесения вреда и стоимости защитных мер;

·         перейти к инцидентно-ориентированному подходу (нет инцидента – нет предмета разбирательства);

·         дать право субъекту оспаривать допустимость действий с персональными данными;

·         перенести решение вопроса возможности обработки в негосударственный орган или суд;

·         дать право оператору самому определять состав и содержание мер по защите персональных данных;

·         перейти от формальных требований к стандартизации;

·         следовать принципу свободы договора, закрепленному в Гражданском кодексе;

·         закрепить возможность оценки конклюдентных действий субъекта персональных данных.

И, может быть, закон все-таки заработает в том направлении, ради которого он принимался.

А теперь - презентация доклада.

Емельянников почему нельзя не нарушить закон 310512