четверг, 29 августа 2013 г.

Об области действия 17 приказа

По мере приближения даты вступления в силу 17 Приказа ФСТЭК (ИБ-шников тоже можно будет поздравить с 1-ым сентября) необходимость тщательного анализа данного документа также нарастает. Я не буду останавливаться сейчас на организационном и техническом аспектах этого документа, в принципе те, кто следили за его судьбой уже читали их обзоры или делали такие обзоры сами. Меня в данном случае заинтересовал правовой аспект. А именно - в 17 Приказе сказано, что он действует применительно к государственным и муниципальным информационным системам. Хочу более подробно остановиться на этом моменте. 
Согласно ст.13 ФЗ №149 "Об информации..." государственные информационные системы - это федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов. Муниципальные информационные системы создаются на основании решения органа местного самоуправления. При этом надо учитывать, что это должны быть законы, акты или решения о создании именно информационной системы. Информационные системы любого государственного органа или органа местного самоуправления, которые бы автоматизировали деятельность, регламентированную законодательством, например, федеральным законом "О бухгалтерском учете" №402, но при этом без явного указания по созданию информационных систем в каком-либо НПА, не будут являться государственными или муниципальными.
Давайте пойдем дальше и попытаемся разобраться с правовыми актами государственных органов и решениями органов местного самоуправления. Государственный орган – это часть государственного аппарата, наделенная государственно-властными полномочиями и осуществляющая свою компетенцию по уполномочию государства в установленном им порядке. В РФ это органы, осуществляющие функции законодательной, исполнительной и судебной властей. При этом важно понимать, что государственные учреждения и предприятия также входят в состав государственного аппарата, но не являются государственными органами. Органы местного самоуправления выполняют те же функции, что и государственные только в пределах своих субъектов федерации (республик, краев, областей, городов и т.п.). Т.е. основаниями для создания государственных или муниципальных систем помимо законов могут быть указы президента, губернатора, мэра или главы администрации, постановления  и приказы правительств и министерств различных уровней, федеральных агенств и служб, дум и муниципалитетов, решения собраний. И опять же эти документы должны содержать четкую формулировку - создание такой-то информационной системы. Приказ, например, главы государственного учреждения о создании информационной системы  не наделяет её статусом муниципальной, поскольку госучреждение, как уже говорилось выше не является ни государственным органом, ни органом местного самоуправления.
Опишу практический пример. Например, мы берем государственный ВУЗ. Информационная система, автоматизирующая его деятельность в части организации и контроля процесса обучения студентов, несмотря на то, что эта деятельность осуществляется в соответствии с ФЗ "Об образовании" №273 (с 1 сентября 2013 г.), не будет являться государственной, поскольку в этом ФЗ ничего не сказано о создании информационных систем для этой деятельности, а также нет никаких Постановлений Правительств, приказов Министерства образования о создании информационных систем с подобными целями. Кроме того, все рабочие места в ВУЗе, организованные для передачи данных в государственные и региональные информационные системы в соответствии со статьей 98 ФЗ №273 просто будут являться средствами передачи данных в эти системы (убедиться в том, будут ли данные рабочие места относиться к государственным или муниципальным системам, можно изучив соответствующие постановления правительства о данных информационных системах, там прописываются границы этих систем). Для проверки возможности отнесения информационной системы ВУЗа к муниципальной необходимо аналогичным образом изучить "местные" нормативные акты.
Итоговый вывод - сфера применимости 17 Приказа ФСТЭК со всеми вытекающими требованиями (в том числе обязательной сертификацией средств защиты и аттестацией) не так широка, как может показаться на первый взгляд, возможны такие государственные организации, в которых не окажется ни одной государственной или муниципальной ИС.

среда, 10 июля 2013 г.

Общение с ФСБ

В процессе общения с представителями ФСБ в последнее время отслеживается 2 основных тезиса, на которые они особенно обращают внимание:
1) Обеспечение защиты от недекларируемых возможностей;
2) Обеспечение защиты от внутренних угроз, в том числе от пользователей СКЗИ.

В данной статье я изложу свое видение пока первого пункта. 
Итак, в контексте этого заявления в различных беседах мне приходилось слышать следующее со стороны ФСБ: 
а) обеспечивать противодействие этим угрозам применением ПО, сертифицированного на контроль отсутствия НДВ; 
б) проходить процедуру оценки влияния всего используемого на ПЭВМ с СКЗИ ПО (железо в расчет не берем).

Выполнить эти условия, мягко говоря, затруднительно, к тому же они весьма дорогостоящие и небыстрые с точки зрения реализации. Я приводил следующие контраргументы для их опровержения:

а) использование ПО, сертифицированного на контроль отсутствия НДВ, относится к сфере регулирования ФСТЭК, в их документах нет никаких дополнительных требований по обязательной сертификации ПО в случае его совместного применения с СКЗИ. На запрос наличия таких требований в каких-либо документах ФСБ никаких ответов я не получал;

б) согласно п.35 ПКЗ-2005 состав ПО, совместно функционирующий с СКЗИ и требующий  проведения оценки влияния, определяет разработчик СКЗИ и согласовывает с заказчиком (если он известен заранее, т.е. идет работа под заказ), специализированной организацией и ФСБ. Обычно заказчик заранее не известен и поэтому разработчик прописывает в свою документацию (например, формуляр) вместо этого понятие "встраивание" и условия, при которых в случае его осуществления требуется оценка влияния. В документации также прописываются интерфейсы, через которые происходит взаимодействие СКЗИ с внешним ПО (встраивание). Данная документация как составляющая часть СКЗИ естественно в процессе сертификации проходит согласование ФСБ, в том числе и эти пункты. Таким образом, оценку влияния для ПО следует проходить только в тех случаях когда:

- разработчик данного ПО декларирует в своей документации взаимодействие с СКЗИ через интерфейсы, прописанные в документации на СКЗИ (сложно себе представить, что он это будет делать через какие-то другие механизмы, кроме того, для организации такого взаимодействия потребуется квалификация нарушителя, соответствующая моделям H4-H6, что для нас не будет являться актуальным в связи с меньшей ценностью защищаемой информации относительно затрат нарушителя на такой взлом);
- и выполняются правовые условия необходимости прохождения оценки влияния (об этом подробно я писал здесь, см. формуляр на СКЗИ).

Итоговый вывод - ни сертификаты на контроль отсутствия НДВ всего ПО, которое работает совместно с СКЗИ на одном с ним ПЭВМ (или вообще в системе), ни прохождение оценки влияния его, по моему разумению не нужны. Представители ФСБ пока взяли паузу, жду реакции от читателей. Возможно я чего-то не учел.

P.S. В контексте защиты персональных данных актуальность угрозы НДВ, основываясь на ПП-1119, должна определяться оператором самостоятельно и ФСБ не должна навязывать их.

среда, 29 мая 2013 г.

Про согласие на обработку при регистрации на сайтах...

В ходе вчерашнего вечернего занятия в процессе обсуждений всплыл пресловутый вопрос о форме согласия с обработкой ПД в виде "галки" в окне регистрации на сайтах. Озвучиваю свою позицию по этому вопросу.

Согласно п.1 статьи 9 ФЗ-152 (с учетом редакций ФЗ-261) "Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором."

Кроме того, согласно п.3 этой же статьи "Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора."

Исходя из этих положений, следует, что оператор должен иметь возможность доказать получение согласия от субъекта ПД. При этом он сможет юридически значимо это сделать только, если:
1) на его сайте ведется лог-журнал регистрации пользователей;
2) обеспечена целостность этого лог-журнала с применением ЭП (для получения статуса электронного документа), либо механизм ведения лог-файла с обеспечением целостности прошёл оценку соответствия (вот этот момент спорный, не уверен, что этого будет достаточно для суда).
Сильно сомневаюсь, что все эти меры реализованы в работающих системах.

Но даже если все это реализовать, остается ещё проблема подтверждения личности самого субъекта при регистрации. Т.е. оператор сможет подтвердить только факт получения ПД и согласие на их обработку от кого-то, кто их ввел. Является ли этот "кто-то" реально субъектом введенных ПД, оператор на сегодняшний день доказать сможет, только если субъект при регистрации на сайте воспользовался ЭП, которую предварительно получил и лично подписался под фактом её получения. Понятно, что при таком раскладе выигрыш от электронной формы согласия сводится к нулю, поскольку технически реализовать подобную систему достаточно дорого, а кроме того в России далеко не каждый субъект имеет свою ЭП (если не сказать, что её почти ни у кого нет).

Выводы можно не делать, они очевидны. Мысль родилась вчера, возможно я чего-то не учел, тогда прошу меня поправить. Кроме того, не исключаю, что это "баян" ))

понедельник, 15 апреля 2013 г.

Даешь кадры!!!

Тем, кого коснулась проблема обучения для обновления (получения) лицензий ФСБ, посвящается...

Так уж вышло, что мне приходится проходить программу переподготовки по специальности "Информационная безопасность" (старый я уже, в 20-ом веке ИБ не обучали). Вопрос решался быстро в свете необходимости успеть до 1 сентября, чтобы получить диплом гособразца. Итак выбор стоял между следующими учебными центрами:
1) Эшелон
2) Информзащита
3) Учебный Центр «Ключевые решения» совместно с НОУ «Алтайский образовательный центр специальных технологий» (НОУ АОЦСТ), г. Барнаул
4) Академия информационных систем

Навскидку по-быстренькому, если кому-то пригодится, привожу краткий анализ их программ

1) Эшелон - длительность 540ч, стоимость 160000 (без скидок), срок обучения 3 месяца, есть возможность дистанционного обучения, мне не понравилось, что очень много внимания в программе уделено теоретическим аспектам криптографии, если вы не планируете заниматься разработкой СКЗИ, то эффективность обучения под вопросом.

2) Информзащита - длительность 512ч, стоимость 160000 (без скидок), срок обучения - в течение года, дистанционное обучение возможно только по некоторым теоретическим курсам, программу пришлось запрашивать отдельно, в неё входят естественнонаучный цикл 280 часов (на мой взгляд для специалистов абсолютно ненужный, большинством все это в институте уже изучалось), профессиональный цикл 224 часа (с вариативной частью на 88 часов). Я не москвич, поэтому данный курс мне не подошел.

3) Ключевые решения - длительность 504ч, стоимость 80000, дистанционное обучение в форме вебинаров, все бы ничего с такой ценой и на качество обучения можно было бы не обращать внимания в случае, если бы оно оказалось низким, но диплом данное заведение выдает негосударственного образца, так что этот вариант отмел.

4) Академия информационных систем - длительность 530ч, стоимость 160000 (без скидок), срок обучения 4 месяца, дистанционное обучение возможно (правда насколько я понял основная его часть в виде электронных лекций на портале + вебинары по некоторым курсам очного обучения), программа мне показалась самой разнообразной и наиболее отвечающей практическим аспектам ИБ, поэтому я выбрал её.

Далее в темах буду описывать свои впечатления от обучения (кабы только не от зря потраченного времени).

четверг, 28 февраля 2013 г.

Как я "надул" банк

Начитавшись и наслушавшись очередных материалов про НПС, ДБО, фрод и прочее мошенничество, я вспомнил одну историю. Никаких описаний технических ухищрений в ней не будет, я расскажу как без всякого специализированного софта и абсолютно легально воспользовался уязвимостью информационной системы банка и, что самое главное, выгодал на этом немало бабла.
В общем история началась осенью 2010 года. Образовалась у меня тогда свободная сумма денег, которую я думал куда вложить. Случайно на глаза попалась передача из канала РБК, где один серьезный товарищ достаточно четко и обоснованно рекомендовал вкладываться конкретно в серебро (пожалуй это один из тех редких случаев, когда РБК можно сказать "спасибо"). Cуть да дело, я проникся идеей, перелопатил аналитику, подождал месяцок, наблюдая за динамикой, все сходилось. Решил вложиться, и т.к. не обладал на тот момент никаким опытом в финансовых операциях, то выбрал самое простое - обезличенный металлический счет. Сами понимаете, дело было новое, поэтому отслеживал курс регулярно, 2 раза в день. Быстро понял, что банковский курс всегда ниже биржевого, с этим пришлось смириться, но в этой бочке дегтя обнаружилась и ложка меда. Через какое-то время по сайту банка, я заметил, что курс обновлялся только, спустя час-два, после начала рабочего дня и всего раз в день. А т.к. биржевые площадки работают практически круглосуточно, то положение на них можно оценить гораздо раньше того момента, когда на это среагирует банк. Т.е. я имел тяжелый, не способный принести максимальную прибыль, но с другой стороны инертный, а значит дающий отсрочку для действий, инвестиционный механизм. Грех было не воспользоваться этим, ну и я таки дождался своего часа. Кто занимается биржевой аналитикой, то помнит, что случилось с рынком серебра в конце апреля 2011 года. Почти доехав до исторического рекорда 50$ за унцию, за 5 дней он рухнул вдвое. В первый день падение началось после обеда. Прочувствовав его, я встал на следующий день с утра пораньше и перепроверил сводки. Увидел, что дела на рынке стали ещё хуже, а банковский курс на сайте остался вчерашним, поэтому с легким сердцем понесся в банк прямо к его открытию и благополучно обналичился по курсу даже выше рыночного, не говоря уж про то, что для банковского он в итоге оказался самым высоким по сию пору. Вот так без особых ухищрений деньги порой банки сами отдают.

P.S. Перед уходом не смог удержаться, посоветовал девочке-операционистке посмотреть какие к ней через час придут новые курсы, она ещё год потом меня волшебником считала, пока я не раскололся )))

вторник, 25 декабря 2012 г.

Свои выводы ноябрь-декабрь 2012 г.

Слава богу, рабочий год подходит к концу. Вроде бы разобрался со всеми делами, но пока разгребался, к сожалению, пропустил все самое интересное в экспертном сообществе, ставлю себе незачот ))). Опишу свое мнение обо всем происходящем, постараюсь быть кратким.
С тем, что инициативы регулятора новые, и тенденция сама по себе хорошая, согласен полностью. То, что специалисты отправляли свои мнения по РД, и регулятор их частично (при этом не обструктивно) принимал, тоже замечательно. 
Теперь, что касается некоторого напряжения, вызванного открытым письмом Геннадия Атаманова. Сначала по содержанию - с большей частью претензий к тексту РД я согласен, но речь не об этом. Что по факту мы получили - весьма показательное явление и вызвано оно отсутствием организованности в тех новых начинаниях, которые предложил ФСТЭК. Все вышло на уровне самодеятельности. Отсюда и огрехи в формулировках и теоретические несостыковки в РД. Теперь выводы из этой ситуации:
1) Да самодеятельность, да подход "по-русски" со всеми вытекающими, но что вы хотите от первых шагов в новом направлении? Я согласен с точкой зрения Евгения Родыгина, главное в проектах новых РД - это их целевая аудитория. А целевая аудитория разрабатываемых РД - операторы, и для них необходимо было создать относительно простой и понятный документ, при этом не противоречащий уже сформулированным подходам НПА более высоких уровней. Исходя из этих целей, и с учетом обстоятельств, в которых все мы, в том числе регулятор, находимся, задача выполнена достаточно эффективно.  
2) Что делать дальше?  Ответ напрашивается сам собой - если подобная инициатива регулятора будет практиковаться и дальше, то экспертному сообществу необходимо организовываться в вопросах формирования и представления своих мнений. По поводу теоретической базы ИБ (так сказать её парадигмы) вопрос очень сложный, и если реально смотреть на вещи, то решить его получится не сегодня и даже не завтра. Главное, что нужно делать сейчас - это сохранить и укрепить тенденцию сотрудничества между регулятором и экспертами.
Ну и ещё одна маленькая ремарка, не могу без техчасти. Алексей Лукацкий говорит, что определение типа угроз, актуальных для ИС (угрозы, связанные с наличием НДВ) будет выполняться исключительно оператором. Но мне не дает покоя формулировка "и в соответствии с НПА..." п.7 ПП 1119. Вот пока не увижу окончательных документов ФСТЭК, и что в них НЕ указывается для кого какой тип угроз устанавливается, буду в этом сомневаться ))).

пятница, 28 сентября 2012 г.

Обналичка за обезличку..

Ни для кого не секрет, что обезличивание персональных данных является одним из способов понижения требований к системе их защиты. Однако конкретные вопросы применения данного механизма на сегодняшний день в отечественной нормативной базе не проработаны. Непонятно, какие можно использовать методы обезличивания, не определены условия их применимости, регламенты использования и прочее, прочее, прочее. Например, в одном форуме, мне заявляли, что обязательным условием обезличивания является невозможность обратного преобразования данных персоналом системы. Сильно в этом сомневаюсь, на мой взгляд техническая возможность этого должна быть, но должны присутствовать организационные и технические меры, четко описывающие и контролирующие когда, кому и в связи с чем это можно делать. Единственным отечественным документом, который мне попался на глаза, хоть как-то перечисляющим возможные методы обезличивания являются "Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации" (там кстати тоже предусматриваются ситуации, когда в ИСПДн возможны операции, обратные обезличиванию). При этом перечисленные в этом документе методы взяты из NIST SP800‐122.
Так вот, 31 августа произошло интересное на мой взгляд событие - был опубликован конкурс на право выполнения работ по разработке требований и методов обезличивания персональных данных (ссылка). Я посмотрел техническое задание - предлагается создать классификатор с указанием перечня самих методов, а также различных условий и свойств каждого из них. В общем работа по систематизации. Заказчиком конкурса является РКН. Т.е. что мы имеем - регулятор обращается к специалистам по информационной безопасности с предложением выполнить экспертную работу, это может стать началом хорошей традиции. Условия работы мне показались вполне адекватными как по срокам, так и по квалификации. Никаких качественных оценок комиссии, что могло бы создать условия для лоббирования чьих-то интересов. Единственным критерием компетентности является количество работ по созданию ИСПДн, что создаст преимущество крупным игрокам (и это в данном случае думаю правильно, поскольку у крупных интеграторов больше возможностей по научным и аналитическим исследованиям). В первой половине октября станет ясно, кто победил и в результате чьих исследований (если они конечно будут, и все не скатится просто к дублю с международных стандартов) по этому вопросу РКН впоследствии выкатит документ, регламентирующий обезличивание. Как только информация по победителю появится - вставлю в комментарии. Страна должна знать своих героев ))