tag:blogger.com,1999:blog-67614221806687845282024-02-14T22:45:45.832-08:00Без опаскиМихаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.comBlogger12125tag:blogger.com,1999:blog-6761422180668784528.post-31395190597306704902013-08-29T12:19:00.001-07:002013-09-16T14:09:11.977-07:00Об области действия 17 приказа<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<span style="font-family: inherit;">По мере приближения даты вступления в силу 17 Приказа ФСТЭК (ИБ-шников тоже можно будет поздравить с 1-ым сентября) необходимость тщательного анализа данного документа также нарастает. Я не буду останавливаться сейчас на организационном и техническом аспектах этого документа, в принципе те, кто следили за его судьбой уже читали их обзоры или делали такие обзоры сами. Меня в данном случае заинтересовал правовой аспект. А именно - в 17 Приказе сказано, что он действует применительно к государственным и муниципальным информационным системам. Хочу более подробно остановиться на этом моменте. </span></div>
<div style="text-align: justify;">
<span style="font-family: inherit;">Согласно ст.13 ФЗ №149 "Об информации..." государственные информационные системы - это федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов. Муниципальные информационные системы создаются на основании решения органа местного самоуправления. При этом надо учитывать, что это должны быть законы, акты или решения о создании именно информационной системы. Информационные системы любого государственного органа или органа местного самоуправления, которые бы автоматизировали деятельность, регламентированную законодательством, например, федеральным законом "О бухгалтерском учете" №402, но при этом без явного указания по созданию информационных систем в каком-либо НПА, не будут являться государственными или муниципальными.</span></div>
<div style="text-align: justify;">
<span style="font-family: inherit;">Давайте пойдем дальше и попытаемся разобраться с правовыми актами государственных органов и решениями органов местного самоуправления. Г<span style="background-color: white; text-align: justify; text-indent: 18.933332443237305px;">осударственный орган – это часть государственного аппарата, наделенная государственно-властными полномочиями и осуществляющая свою компетенцию по уполномочию государства в установленном им порядке.</span> В РФ это органы, осуществляющие функции законодательной, исполнительной и судебной властей. При этом важно понимать, что государственные учреждения и предприятия также входят в состав государственного аппарата, но не являются государственными органами. Органы местного самоуправления выполняют те же функции, что и государственные только в пределах своих субъектов федерации (республик, краев, областей, городов и т.п.). Т.е. основаниями для создания государственных или муниципальных систем помимо законов могут быть указы президента, губернатора, мэра или главы администрации, постановления и приказы правительств и министерств различных уровней, федеральных агенств и служб, дум и муниципалитетов, решения собраний. И опять же эти документы должны содержать четкую формулировку - создание такой-то информационной системы. Приказ, например, главы государственного учреждения о создании информационной системы не наделяет её статусом муниципальной, поскольку госучреждение, как уже говорилось выше не является ни государственным органом, ни органом местного самоуправления.</span></div>
<div style="text-align: justify;">
<span style="font-family: inherit;">Опишу практический пример. Например, мы берем государственный ВУЗ. Информационная система, автоматизирующая его деятельность в части организации и контроля процесса обучения студентов, несмотря на то, что эта деятельность осуществляется в соответствии с ФЗ "Об образовании" №273 (с 1 сентября 2013 г.), не будет являться государственной, поскольку в этом ФЗ ничего не сказано о создании информационных систем для этой деятельности, а также нет никаких Постановлений Правительств, приказов Министерства образования о создании информационных систем с подобными целями. Кроме того, все рабочие места в ВУЗе, организованные для передачи данных в государственные и региональные информационные системы в соответствии со статьей 98 ФЗ №273 просто будут являться средствами передачи данных в эти системы (убедиться в том, будут ли данные рабочие места относиться к государственным или муниципальным системам, можно изучив соответствующие постановления правительства о данных информационных системах, там прописываются границы этих систем). Для проверки возможности отнесения информационной системы ВУЗа к муниципальной необходимо аналогичным образом изучить "местные" нормативные акты.</span><br />
<span style="font-family: inherit;">Итоговый вывод - сфера применимости 17 Приказа ФСТЭК со всеми вытекающими требованиями (в том числе обязательной сертификацией средств защиты и аттестацией) не так широка, как может показаться на первый взгляд, возможны такие государственные организации, в которых не окажется ни одной государственной или муниципальной ИС.</span></div>
</div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com0tag:blogger.com,1999:blog-6761422180668784528.post-90856104549258537842013-07-10T05:35:00.001-07:002013-07-10T05:47:19.242-07:00Общение с ФСБ<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
В процессе общения с представителями ФСБ в последнее время отслеживается 2 основных тезиса, на которые они особенно обращают внимание:</div>
<div style="text-align: justify;">
1) Обеспечение защиты от недекларируемых возможностей;</div>
<div style="text-align: justify;">
2) Обеспечение защиты от внутренних угроз, в том числе от пользователей СКЗИ.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
В данной статье я изложу свое видение пока первого пункта. </div>
<div style="text-align: justify;">
Итак, в контексте этого заявления в различных беседах мне приходилось слышать следующее со стороны ФСБ: </div>
<div style="text-align: justify;">
а) обеспечивать противодействие этим угрозам применением ПО, сертифицированного на контроль отсутствия НДВ; </div>
<div style="text-align: justify;">
б) проходить процедуру оценки влияния всего используемого на ПЭВМ с СКЗИ ПО (железо в расчет не берем).</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Выполнить эти условия, мягко говоря, затруднительно, к тому же они весьма дорогостоящие и небыстрые с точки зрения реализации. Я приводил следующие контраргументы для их опровержения:</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
а) использование ПО, сертифицированного на контроль отсутствия НДВ, относится к сфере регулирования ФСТЭК, в их документах нет никаких дополнительных требований по обязательной сертификации ПО в случае его совместного применения с СКЗИ. На запрос наличия таких требований в каких-либо документах ФСБ никаких ответов я не получал;</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
б) согласно п.35 ПКЗ-2005 состав ПО, совместно функционирующий с СКЗИ и требующий проведения оценки влияния, определяет <b>разработчик</b> СКЗИ и согласовывает с заказчиком (если он известен заранее, т.е. идет работа под заказ), специализированной организацией и ФСБ. Обычно заказчик заранее не известен и поэтому разработчик прописывает в свою документацию (например, формуляр) вместо этого понятие "встраивание" и условия, при которых в случае его осуществления требуется оценка влияния. В документации также прописываются интерфейсы, через которые происходит взаимодействие СКЗИ с внешним ПО (встраивание). Данная документация как составляющая часть СКЗИ естественно в процессе сертификации проходит согласование ФСБ, в том числе и эти пункты. Таким образом, оценку влияния для ПО следует проходить только в тех случаях когда:</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
- разработчик данного ПО <b>декларирует </b>в своей документации взаимодействие с СКЗИ через интерфейсы, прописанные в документации на СКЗИ (сложно себе представить, что он это будет делать через какие-то другие механизмы, кроме того, для организации такого взаимодействия потребуется квалификация нарушителя, соответствующая моделям H4-H6, что для нас не будет являться актуальным в связи с меньшей ценностью защищаемой информации относительно затрат нарушителя на такой взлом);</div>
<div style="text-align: justify;">
- и выполняются правовые условия необходимости прохождения оценки влияния (об этом подробно я писал <a href="http://novokreshenov.blogspot.ru/2012/06/web.html">здесь</a>, см. формуляр на СКЗИ).</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Итоговый вывод - ни сертификаты на контроль отсутствия НДВ всего ПО, которое работает совместно с СКЗИ на одном с ним ПЭВМ (или вообще в системе), ни прохождение оценки влияния его, по моему разумению не нужны. Представители ФСБ пока взяли паузу, жду реакции от читателей. Возможно я чего-то не учел.<br />
<br />
P.S. В контексте защиты персональных данных актуальность угрозы НДВ, основываясь на ПП-1119, должна определяться оператором самостоятельно и ФСБ не должна навязывать их.</div>
</div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com8tag:blogger.com,1999:blog-6761422180668784528.post-37210061457084592912013-05-29T00:07:00.000-07:002013-05-29T00:40:33.199-07:00Про согласие на обработку при регистрации на сайтах...<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<span style="font-family: inherit;">В ходе вчерашнего вечернего занятия в процессе обсуждений всплыл пресловутый вопрос о форме согласия с обработкой ПД в виде "галки" в окне регистрации на сайтах. Озвучиваю свою позицию по этому вопросу.</span></div>
<div style="text-align: justify;">
<span style="font-family: inherit;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: inherit;">Согласно п.1 статьи 9 ФЗ-152 (с учетом редакций ФЗ-261) "<span style="background-color: white; color: #555555; text-align: left;">Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой <b>позволяющей подтвердить факт его получения</b> форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором."</span></span></div>
<div style="text-align: justify;">
<span style="background-color: white; color: #555555; text-align: left;"><span style="font-family: inherit;"><br /></span></span></div>
<div style="text-align: justify;">
<span style="font-family: inherit;"><span style="background-color: white; color: #555555; text-align: left;">Кроме того, согласно п.3 этой же статьи "</span><span style="background-color: white; color: #555555; text-align: left;">Обязанность предоставить <b>доказательство получения согласия </b>субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в </span><span class="r" id="r" style="background-color: white; color: #555555; margin: 0px; padding: 0px; text-align: left;">пунктах 2</span><span style="background-color: white; color: #555555; text-align: left;"> - </span><span class="r" id="r" style="background-color: white; color: #555555; margin: 0px; padding: 0px; text-align: left;">11 части 1 статьи 6</span><span style="background-color: white; color: #555555; text-align: left;">, </span><span class="r" id="r" style="background-color: white; color: #555555; margin: 0px; padding: 0px; text-align: left;">части 2 статьи 10</span><span style="background-color: white; color: #555555; text-align: left;"> и </span><span class="r" id="r" style="background-color: white; color: #555555; margin: 0px; padding: 0px; text-align: left;">части 2 статьи 11</span><span style="background-color: white; color: #555555; text-align: left;"> настоящего Федерального закона, возлагается на оператора.</span><span style="background-color: white; color: #555555; text-align: left;">"</span></span></div>
<div style="text-align: justify;">
<span style="background-color: white; color: #555555; text-align: left;"><span style="font-family: inherit;"><br /></span></span></div>
<div style="text-align: justify;">
<span style="background-color: white; color: #555555; text-align: left;"><span style="font-family: inherit;">Исходя из этих положений, следует, что оператор должен иметь возможность доказать получение согласия от субъекта ПД. При этом он сможет юридически значимо это сделать только, если:</span></span></div>
<div style="text-align: justify;">
<span style="background-color: white; color: #555555; font-family: inherit; text-align: left;">1) на его сайте ведется лог-журнал регистрации пользователей;</span></div>
<div style="text-align: justify;">
<span style="background-color: white; color: #555555; text-align: left;"><span style="font-family: inherit;">2) обеспечена целостность этого лог-журнала с применением ЭП (для получения статуса электронного документа), либо механизм ведения лог-файла с обеспечением целостности прошёл оценку соответствия (вот этот момент спорный, не уверен, что этого будет достаточно для суда).</span></span></div>
<div style="text-align: justify;">
<span style="background-color: white; color: #555555; text-align: left;"><span style="font-family: inherit;">Сильно сомневаюсь, что все эти меры реализованы в работающих системах.</span></span></div>
<div style="text-align: left;">
<span style="color: #555555; font-family: inherit;"><br /></span></div>
<div style="text-align: left;">
<div style="text-align: justify;">
<span style="color: #555555; font-family: inherit;">Но даже если все это реализовать, остается ещё проблема подтверждения личности самого субъекта при регистрации. Т.е. оператор сможет подтвердить только факт получения ПД и согласие на их обработку от кого-то, кто их ввел. Является ли этот "кто-то" реально субъектом введенных ПД, оператор на сегодняшний день доказать сможет, только если субъект при регистрации на сайте воспользовался ЭП, которую предварительно получил и лично подписался под фактом её получения. Понятно, что при таком раскладе выигрыш от электронной формы согласия сводится к нулю, поскольку технически реализовать подобную систему достаточно дорого, а кроме того в России далеко не каждый субъект имеет свою ЭП (если не сказать, что её почти ни у кого нет).</span></div>
</div>
<div style="text-align: justify;">
<div style="text-align: justify;">
<span style="background-color: white; color: #555555; text-align: left;"><span style="font-family: inherit;"><br /></span></span></div>
</div>
<div style="text-align: justify;">
<div style="text-align: justify;">
<span style="background-color: white; color: #555555; text-align: left;"><span style="font-family: inherit;">Выводы можно не делать, они очевидны. Мысль родилась вчера, возможно я чего-то не учел, тогда прошу меня поправить. Кроме того, не исключаю, что это "баян" ))</span></span></div>
</div>
</div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com15tag:blogger.com,1999:blog-6761422180668784528.post-12940403865339807572013-04-15T10:33:00.001-07:002013-04-15T11:12:11.559-07:00Даешь кадры!!!<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Тем, кого коснулась проблема обучения для обновления (получения) лицензий ФСБ, посвящается...</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Так уж вышло, что мне приходится проходить программу переподготовки по специальности "Информационная безопасность" (старый я уже, в 20-ом веке ИБ не обучали). Вопрос решался быстро в свете необходимости успеть до 1 сентября, чтобы получить диплом гособразца. Итак выбор стоял между следующими учебными центрами:</div>
<div style="text-align: justify;">
1) Эшелон</div>
<div style="text-align: justify;">
2) Информзащита</div>
<div style="text-align: justify;">
3) Учебный Центр «Ключевые решения» совместно с НОУ «Алтайский образовательный центр специальных технологий» (НОУ АОЦСТ), г. Барнаул</div>
<div style="text-align: justify;">
4) Академия информационных систем</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Навскидку по-быстренькому, если кому-то пригодится, привожу краткий анализ их программ</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
1) <a href="http://uc-echelon.ru/courses/2010/9684">Эшелон</a> - длительность 540ч, стоимость 160000 (без скидок), срок обучения 3 месяца, есть возможность дистанционного обучения, мне не понравилось, что очень много внимания в программе уделено теоретическим аспектам криптографии, если вы не планируете заниматься разработкой СКЗИ, то эффективность обучения под вопросом.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
2) <a href="http://www.itsecurity.ru/edu/kurs/pp_01.html">Информзащита</a> - длительность 512ч, стоимость 160000 (без скидок), срок обучения - в течение года, дистанционное обучение возможно только по некоторым теоретическим курсам, программу пришлось запрашивать отдельно, в неё входят естественнонаучный цикл 280 часов (на мой взгляд для специалистов абсолютно ненужный, большинством все это в институте уже изучалось), профессиональный цикл 224 часа (с вариативной частью на 88 часов). Я не москвич, поэтому данный курс мне не подошел.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
3) <a href="http://rf-seminar.ru/catalog/seminar/info/?id=95">Ключевые решения</a> - длительность 504ч, стоимость 80000, дистанционное обучение в форме вебинаров, все бы ничего с такой ценой и на качество обучения можно было бы не обращать внимания в случае, если бы оно оказалось низким, но диплом данное заведение выдает негосударственного образца, так что этот вариант отмел.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
4) <a href="http://infosystems.ru/services/informacionnaya/kursy__soglasov_742/4846/4847.html">Академия информационных систем</a> - длительность 530ч, стоимость 160000 (без скидок), срок обучения 4 месяца, дистанционное обучение возможно (правда насколько я понял основная его часть в виде электронных лекций на портале + вебинары по некоторым курсам очного обучения), программа мне показалась самой разнообразной и наиболее отвечающей практическим аспектам ИБ, поэтому я выбрал её.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Далее в темах буду описывать свои впечатления от обучения (кабы только не от зря потраченного времени).</div>
</div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com3tag:blogger.com,1999:blog-6761422180668784528.post-58893019142215647302013-02-28T07:46:00.003-08:002013-04-15T11:13:18.386-07:00Как я "надул" банк<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Начитавшись и наслушавшись очередных материалов про НПС, ДБО, фрод и прочее мошенничество, я вспомнил одну историю. Никаких описаний технических ухищрений в ней не будет, я расскажу как без всякого специализированного софта и абсолютно легально воспользовался уязвимостью информационной системы банка и, что самое главное, выгодал на этом немало бабла.</div>
<div style="text-align: justify;">
В общем история началась осенью 2010 года. Образовалась у меня тогда свободная сумма денег, которую я думал куда вложить. Случайно на глаза попалась передача из канала РБК, где один серьезный товарищ достаточно четко и обоснованно рекомендовал вкладываться конкретно в серебро (пожалуй это один из тех редких случаев, когда РБК можно сказать "спасибо"). Cуть да дело, я проникся идеей, перелопатил аналитику, подождал месяцок, наблюдая за динамикой, все сходилось. Решил вложиться, и т.к. не обладал на тот момент никаким опытом в финансовых операциях, то выбрал самое простое - обезличенный металлический счет. Сами понимаете, дело было новое, поэтому отслеживал курс регулярно, 2 раза в день. Быстро понял, что банковский курс всегда ниже биржевого, с этим пришлось смириться, но в этой бочке дегтя обнаружилась и ложка меда. Через какое-то время по сайту банка, я заметил, что курс обновлялся только, спустя час-два, после начала рабочего дня и всего раз в день. А т.к. биржевые площадки работают практически круглосуточно, то положение на них можно оценить гораздо раньше того момента, когда на это среагирует банк. Т.е. я имел тяжелый, не способный принести максимальную прибыль, но с другой стороны инертный, а значит дающий отсрочку для действий, инвестиционный механизм. Грех было не воспользоваться этим, ну и я таки дождался своего часа. Кто занимается биржевой аналитикой, то помнит, что случилось с рынком серебра в конце апреля 2011 года. Почти доехав до исторического рекорда 50$ за унцию, за 5 дней он рухнул вдвое. В первый день падение началось после обеда. Прочувствовав его, я встал на следующий день с утра пораньше и перепроверил сводки. Увидел, что дела на рынке стали ещё хуже, а банковский курс на сайте остался вчерашним, поэтому с легким сердцем понесся в банк прямо к его открытию и благополучно обналичился по курсу даже выше рыночного, не говоря уж про то, что для банковского он в итоге оказался самым высоким по сию пору. Вот так без особых ухищрений деньги порой банки сами отдают.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
P.S. Перед уходом не смог удержаться, посоветовал девочке-операционистке посмотреть какие к ней через час придут новые курсы, она ещё год потом меня волшебником считала, пока я не раскололся )))</div>
</div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com0tag:blogger.com,1999:blog-6761422180668784528.post-968182041746550282012-12-25T00:15:00.000-08:002013-04-15T11:14:24.048-07:00Свои выводы ноябрь-декабрь 2012 г.<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Слава богу, рабочий год подходит к концу. Вроде бы разобрался со всеми делами, но пока разгребался, к сожалению, пропустил все самое интересное в экспертном сообществе, ставлю себе незачот ))). Опишу свое мнение обо всем происходящем, постараюсь быть кратким.</div>
<div style="text-align: justify;">
С тем, что инициативы регулятора новые, и тенденция сама по себе хорошая, согласен полностью. То, что специалисты отправляли свои мнения по РД, и регулятор их частично (при этом не обструктивно) принимал, тоже замечательно. </div>
<div style="text-align: justify;">
Теперь, что касается некоторого напряжения, вызванного <a href="http://www.dlp-expert.ru/blog/4042/38617">открытым письмом</a> Геннадия Атаманова. Сначала по содержанию - с большей частью претензий к тексту РД я согласен, но речь не об этом. Что по факту мы получили - весьма показательное явление и вызвано оно отсутствием организованности в тех новых начинаниях, которые предложил ФСТЭК. Все вышло на уровне самодеятельности. Отсюда и огрехи в формулировках и теоретические несостыковки в РД. Теперь выводы из этой ситуации:</div>
<div style="text-align: justify;">
1) Да самодеятельность, да подход "по-русски" со всеми вытекающими, но что вы хотите от первых шагов в новом направлении? Я согласен с точкой зрения Евгения Родыгина, главное в проектах новых РД - это их целевая аудитория. А целевая аудитория разрабатываемых РД - операторы, и для них необходимо было создать относительно простой и понятный документ, при этом не противоречащий уже сформулированным подходам НПА более высоких уровней. Исходя из этих целей, и с учетом обстоятельств, в которых все мы, в том числе регулятор, находимся, задача выполнена достаточно эффективно. </div>
<div style="text-align: justify;">
2) Что делать дальше? Ответ напрашивается сам собой - если подобная инициатива регулятора будет практиковаться и дальше, то экспертному сообществу необходимо организовываться в вопросах формирования и представления своих мнений. По поводу теоретической базы ИБ (так сказать её парадигмы) вопрос очень сложный, и если реально смотреть на вещи, то решить его получится не сегодня и даже не завтра. Главное, что нужно делать сейчас - это сохранить и укрепить тенденцию сотрудничества между регулятором и экспертами.</div>
<div style="text-align: justify;">
Ну и ещё одна маленькая ремарка, не могу без техчасти. Алексей Лукацкий говорит, что определение типа угроз, актуальных для ИС (угрозы, связанные с наличием НДВ) будет выполняться исключительно оператором. Но мне не дает покоя формулировка "и в соответствии с НПА..." п.7 ПП 1119. Вот пока не увижу окончательных документов ФСТЭК, и что в них <b>НЕ</b> указывается для кого какой тип угроз устанавливается, буду в этом сомневаться ))).</div>
<div style="text-align: justify;">
<br /></div>
</div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com6tag:blogger.com,1999:blog-6761422180668784528.post-89885267594595281062012-09-28T00:01:00.001-07:002013-04-15T11:15:21.342-07:00Обналичка за обезличку..<div dir="ltr" style="text-align: left;" trbidi="on">
Ни для кого не секрет, что обезличивание персональных данных является одним из способов понижения требований к системе их защиты. Однако конкретные вопросы применения данного механизма на сегодняшний день в отечественной нормативной базе не проработаны. Непонятно, какие можно использовать методы обезличивания, не определены условия их применимости, регламенты использования и прочее, прочее, прочее. Например, в одном форуме, мне заявляли, что обязательным условием обезличивания является невозможность обратного преобразования данных персоналом системы. Сильно в этом сомневаюсь, на мой взгляд техническая возможность этого должна быть, но должны присутствовать организационные и технические меры, четко описывающие и контролирующие когда, кому и в связи с чем это можно делать. Единственным отечественным документом, который мне попался на глаза, хоть как-то перечисляющим возможные методы обезличивания являются "Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации" (там кстати тоже предусматриваются ситуации, когда в ИСПДн возможны операции, обратные обезличиванию). При этом перечисленные в этом документе методы взяты из NIST SP800‐122.<br />
Так вот, 31 августа произошло интересное на мой взгляд событие - был опубликован конкурс на право выполнения работ по разработке требований и методов обезличивания персональных данных (<a href="http://www.zakupki.gov.ru/pgz/public/action/search/quick/run?currentSearchString=0173100013812000014">ссылка</a>). Я посмотрел техническое задание - предлагается создать классификатор с указанием перечня самих методов, а также различных условий и свойств каждого из них. В общем работа по систематизации. Заказчиком конкурса является РКН. Т.е. что мы имеем - регулятор обращается к специалистам по информационной безопасности с предложением выполнить экспертную работу, это может стать началом хорошей традиции. Условия работы мне показались вполне адекватными как по срокам, так и по квалификации. Никаких качественных оценок комиссии, что могло бы создать условия для лоббирования чьих-то интересов. Единственным критерием компетентности является количество работ по созданию ИСПДн, что создаст преимущество крупным игрокам (и это в данном случае думаю правильно, поскольку у крупных интеграторов больше возможностей по научным и аналитическим исследованиям). В первой половине октября станет ясно, кто победил и в результате чьих исследований (если они конечно будут, и все не скатится просто к дублю с международных стандартов) по этому вопросу РКН впоследствии выкатит документ, регламентирующий обезличивание. Как только информация по победителю появится - вставлю в комментарии. Страна должна знать своих героев ))<br />
<br />
<br />
<br /></div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com1tag:blogger.com,1999:blog-6761422180668784528.post-61630432807927084572012-08-30T06:26:00.001-07:002012-08-30T06:44:45.102-07:00Вот вам и ФИПС<div dir="ltr" style="text-align: left;" trbidi="on">
Сегодня случайно столкнулся с автоматизированной системой безбумажного делопроизводства экспертизы изобретений (система удаленной подачи заявок на изобретения) Федерального Института Промышленной Собственности и сильно удивился. Ребята взяли и развернули все на CheckPoint. В том числе сделали VPN SSL портал с ГОСТ-шифрованием. То, что CheckPoint реализовал у себя поддержку ГОСТ-шифрования через интеграцию с КриптоПро CSP уже давно не секрет, но их позиция была принципиальной в нежелании (или отсутствии возможности) проходить сертификацию в ФСБ. В своих презентациях они писали, что данную процедуру с их продуктами проходить не нужно. Не знаю, насколько они правы. Сейчас это один из камней преткновения, воюют все: регуляторы с вендорами, вендоры с покупателями и т.д. и т.п. Моя личная позиция в этом плане была "от греха подальше пользовать только сертифицированные СКЗИ для гос.заказчика". Да и как-то не слышал я, про реальные проекты, где бы использовали ГОСТ-VPN на CheckPoint. И вот пожалуйте. Уж не знаю, как они протащили такой проект, но система уже реально работает. Заявки на изобретение - это коммерческая тайна и с одной стороны владелец информации вправе сам устанавливать для неё меры по защите, но здесь речь идет в том числе и о государственных организациях, а значит необходимо использовать:<br />
1) сертифицированные СКЗИ (в том числе сертифицированные VPN);<br />
2) и/или ПО, прошедшее оценку влияния в случае взаимодействия прикладного ПО с СКЗИ.<br />
В случае VPN SSL ещё можно попытаться перед регулятором уйти от сертификации к оценке влияния. В процессе обсуждения с одним из вендоров аргументы, которые мне привели на этот счет, технически мне показались обоснованными. Для установления ясности даже пришлось послать запрос в ФСБ по этому вопросу, но никакого ответа я к сожалению не получил, так что остается неясность. Как бы то ни было, про успешное выполнение ни первого, ни второго варианта относительно продуктов CheckPoint я не слышал. Но факт остается фактом.<br />
Вот ссылочка на посмотреть <a href="http://www1.fips.ru/wps/wcm/connect/content_ru/ru/el_zayav/">ФИПС</a> ))</div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com1tag:blogger.com,1999:blog-6761422180668784528.post-47656348612808728622012-08-28T01:30:00.000-07:002012-08-28T05:23:23.802-07:00Истории о сертификации<div dir="ltr" style="text-align: left;" trbidi="on">
Решил коротенечко рассказать некоторые интересные моменты по сертификации средств защиты из своего опыта. Мало ли кому пригодится.<br />
<br />
История №1 - не слушайте испытательные лаборатории<br />
<br />
Заявлял я как-то на сертификацию несколько продуктов. Встал закономерный вопрос - сертифицировать их как что? Единственным документом на сегодня, определяющим что может быть средством защиты, является положение о сертификации №199 т 27.10.95 (и то оно для гостайны). И вот смотрю я перечень типов средств защиты в приложении 1 и понимаю, что некоторые продукты не попадают под этот список. Начинаю звонить в испытательную лабораторию (названия приводить не буду). Рассказываю, что хочу сертифицировать, говорю, что пойдем по схеме "на соответствие ТУ + отсутствие НДВ". На что мне уверенным голосом заявляют, что так не получится, ибо ни в каком РД ФСТЭК не упоминается такой тип средств защиты, а значит придется сертифицировать просто как защищенное средство обработки информации на отсутствие НДВ. Договариваемся, выдают цену. Тут я хочу посоветовать запросить цены по нескольким лабораториям, лично я нашел ту, в которой мне согласились выполнить работу в 1,5 раза дешевле. И вот дальше становится интересней. В процессе согласования заявки на сертификацию во ФСТЭК его представители мне вдруг заявляют, что сертифицировать надо все-таки по схеме ТУ+НДВ как средство защиты, попытка транслировать слова представителей испытательной лаборатории не менее уверенно отвергается. Отсюда делаем практический вывод - мнение о том что, если функционал (тип) средства защиты не упоминается ни в одном из РД ФСТЭК, то его сертифицировать как средство защиты нельзя - неверно.<br />
<br />
История №2 - что такое ключевая информация<br />
<br />
Одним из продуктов, которые подавались на сертификацию, являлся генератор паролей. Вобщем-то ничего особенного с функциональной точки зрения, но когда есть требования по сложности паролей, то штука удобная. И вот тут, ФСТЭК меня вообще удивила - мне было сказано, что данное средство не может быть сертифицировано в рамках их нормативной базы, поскольку существуют требования к генераторам случайных чисел в ФСБ и мне нужно обратиться туда. Я полез разбираться и выяснил, что данные требования устанавливаются только при формирования ключевой информации. Нас же продукт генерировал только пароли, которые никакого отношения к термину "ключевая информация" в рамках нормативной базы ФСБ не имеют. Но представители ФСТЭК были непреклонны, мне было отказано даже в попытке сертифицировать продукт на отсутствие НДВ, что вообще меня удивило. Единственное, что мне удалось - это получить от них письмо с официальным отказом в сертификации. Какой отсюда вывод? Общеизвестный - переубедить представителей регулятора как минимум крайне сложно (у меня не получилось).<br />
<br />
История №3 - бонус затрат к сертификации<br />
<br />
Ну этот момент пожалуй даже подводным камнем не назовешь, просто для тех, кто будет проходить эту процедуру впервые. Учтите, помимо сертификационных испытаний, которые вам проведет испытательная лаборатория, нужно будет пройти также через экспертное заключение корректности выводов испытательной лаборатории независимой организацией. Т.е. с вас после всего ещё сдерут порядка 80000-100000 руб за каждый продукт.<br />
<br />
Вот такие вот истории пришли на память.<br />
<br /></div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com17tag:blogger.com,1999:blog-6761422180668784528.post-56827222769597122122012-07-12T03:20:00.002-07:002012-07-12T03:20:50.749-07:00Старые и новые сертифицированные системы обнаружения атак<div dir="ltr" style="text-align: left;" trbidi="on">
<span style="font-family: Times, 'Times New Roman', serif;">Данная тема родилась в результате обсуждения из прошлого поста. С выходом новых требований для IDS/IPS, как я заметил, у многих сложилось ощущение, что теперь необходимо применять сертифицированные (когда вообще требуется сертификация) только по новым требованиям IDS/IPS. Попытаюсь выложить свою точку зрения на этот счет со ссылками на нормативные документы.</span><br />
<span style="font-family: Times, 'Times New Roman', serif;"><br /></span><br />
<span style="font-family: Times, 'Times New Roman', serif;">Итак, первое. Новые требования распространяются только на <b>вновь</b> разработанные IDS. Что эта фраза означает? Ответ следующий - требования накладываются на IDS, которые, условно скажем, разработаны (с точки зрения нормативной базы ИБ - поданы на сертификацию) с момента вступления в силу новых требований. Т.е. действия старых сертификатов никто не отменил.</span><br />
<span style="font-family: Times, 'Times New Roman', serif;"><br /></span><br />
<span style="font-family: Times, 'Times New Roman', serif;">Читаем информационное письмо ФСТЭК №240 от 01.03.2012 об утверждении требования к системам обнаружения атак...</span><span style="background-color: white; font-family: Times, 'Times New Roman', serif;">"</span><span style="background-color: white; font-family: Times, 'Times New Roman', serif; line-height: 115%;">Выполнение
Требований является обязательным при проведении работ по оценке соответствия
(включая работы по сертификации) средств технической защиты информации и
средств обеспечения безопасности информационных технологий, применяемых для
формирования государственных информационных ресурсов, организуемых ФСТЭК России
в пределах своих полномочий.</span><span style="background-color: white; font-family: Times, 'Times New Roman', serif;">" Толкование на мой взгляд следующее - если вы используете IDS для защиты ГИР, и этот ГИР организуется ФСТЭК-ом России, то да, применяемые IDS в этом случае должны отвечать новым требованиям. Здесь надо уточнять, какой-то это особый вид ГИР, которые организует ФСТЭК, или имеются ввиду все ГИР, поскольку их защита регламентируется в том числе ФСТЭКом. Мне это пока непонятно. В любом случае, даже если речь идет обо всех ГИР, а ГИР это информация в ГИС, то к примеру не каждая ИСПДн государственной организации является ГИСом, все зависит от положений, на основании которых система была создана. Что такое ГИС и с чем ее едят, можно найти на форумах. И опять же фраза "проведение работ по оценке соответствия (в том числе сертификации)" адресует интеграторов к термину "аттестация", поскольку в рамках этой процедуры проверяется соответствие средств защиты нормативным требованиям, и при этом она не является сертификацией. Это значит, что для защиты ГИР можно использовать IDS, сертифицированные на ТУ, главное чтобы при аттестационной проверке они отвечали всем новым требованиям нужного класса IDS.</span><br />
<span style="background-color: white; font-family: Times, 'Times New Roman', serif;"><br /></span><br />
<span style="background-color: white; font-family: Times, 'Times New Roman', serif;">Информация в письме о том, какие классы IDS соответствуют каким классам ИСПДн и другим системам нужна только для того, чтобы знать соответствие этих классов, но отнюдь не говорит, что во всех этих системах должны применяться только IDS, сертифицированная по новым требованиям. Т.е., если вы решите использовать для защиты ИСПДн сертифицированные по новым требованиям IDS, то будете знать какого класса они должны быть, не больше и не меньше.</span><br />
<span style="background-color: white; font-family: Times, 'Times New Roman', serif;"><br /></span><br />
<span style="font-family: Times, 'Times New Roman', serif;">Какой отсюда можно сделать вывод? Мнение о том, что в ИСПДн можно использовать только IDS, сертифицированное по новым требованиям на мой взгляд неверное. Необходимо рассматривать, является ли она ГИС...и опять же фраза "организуемых ФСТЭК" не дает мне покоя. Для защиты персональных данных во всех негосударственных информационных системах в любом случае можно использовать IDS, сертифицированные на ТУ.</span><br />
<span style="font-family: Times, 'Times New Roman', serif;"><br /></span><br />
<span style="font-family: Times, 'Times New Roman', serif;">Теперь по поводу не совсем относящегося к теме вопроса о том "можно ли использовать сертифицированные по старой практике на ТУ IDS для защиты государственной тайны?". Сейчас на этот вопрос дает процитированное мной выше положение с ГИР-ом. Если же эта фраза распространяется не на все ГИР, то можно либо: </span><br />
<span style="font-family: Times, 'Times New Roman', serif;">1) смотреть тексты сертификатов и ТУ этих IDS, там должны быть прописаны условия в которых можно их использовать, в частности класс АС и ИСПДн. </span><br />
<span style="font-family: Times, 'Times New Roman', serif;">2) если эта информация там не указана, смотреть документ ФСТЭК РД на отсутствие НДВ. В самом его начале сказано, что он разработан в дополнение к РД ФСТЭК на АС, который является основным для определения требований к системе защиты для АС (а значит и защиты гостайны). Соответственно ограничением по использованию IDS для защиты гостайны является наличие у него соответствующего сертификата на отсутствие НДВ.</span></div>Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com0tag:blogger.com,1999:blog-6761422180668784528.post-30346984307572299802012-07-06T04:28:00.003-07:002012-07-06T04:28:35.800-07:00Веселые тендеры<div dir="ltr" style="text-align: left;" trbidi="on">
<span style="background-color: #fbfcfd; font-family: Tahoma, Arial; font-size: 13px; line-height: 20px;">Посмотрел я сейчас на волну тендеров централизованных бухгалтерий Краснодарского края...Технические задания меня слегка удивили. Какой-то шустрый товарищ сделал предварительный анализ нужных средств защиты и выдал очень интересную спецификацию. Не долго думая, заложил механизмы обнаружения атак ПО ViPNet Client в состав системы обнаружения атак на ИСПДн. Ну правильно ViPNet Client же сертифицирован, зачем себя ещё какими-то рассуждениями озадачивать? А то, что он сертифицирован как МЭ, как СКЗИ, на отсутствие НДВ, но никакого сертификата как система обнаружения атак не имеет, это конечно ерунда. И все бы ничего, но заложена в работу аттестация системы. Вот я думаю - исполнителей туда уже несколько штук набралось, а как победитель собирается аттестовать ИСПДн без сертифицированной IDS? </span><br style="background-color: #fbfcfd; font-family: Tahoma, Arial; font-size: 13px; line-height: 20px; margin: 0px; padding: 0px;" /><span style="background-color: #fbfcfd; font-family: Tahoma, Arial; font-size: 13px; line-height: 20px;">Вобщем написал я Заказчику запрос на разъяснение...В понедельник обещали выложить, мне очень интересно, что же там напишут. </span><br style="background-color: #fbfcfd; font-family: Tahoma, Arial; font-size: 13px; line-height: 20px; margin: 0px; padding: 0px;" /><span style="background-color: #fbfcfd; font-family: Tahoma, Arial; font-size: 13px; line-height: 20px;">Но эпопея на этом не заканчивается. Стоит в ТЗ у них требование для подсистемы межсетевого экранирования и защиты каналов связи. Всё бы ничего, но указали они там класс КС2. Если кто-то внимательно читал формуляр на СКЗИ ViPNet Client КС2, то там указано, что исполнений этого ПО два, и уровень КС2 выполняется только совместно с электронным замком Соболь или Аккорд. Цена ViPNet Client порядка 6-6,5 тыс. рублей. А вот замочек стоит где-то 10 тыс. Теперь вопрос, как вы думаете, при формировании первичного предложения кто-то этот вопрос отслеживал? Правильно - нет!!! Запросили ориентировочные спеки без всяких замков, и в ТЗ, не долго думая, вкатили КС2. Я не поленился посчитать насколько вырастет бюджет, если закупить замки для выполнения требования по КС2. Цена сразу выросла под первичную цену тендера. А ведь нужно ещё делать работы, аттестацию проводить. А теперь самый интересный вопрос, как вы думаете, хоть кто-нибудь из потенциальных Исполнителей озаботился этим? Ой сомневаюсь. Вот я и посмотрю как будет выкручиваться победитель. Запрос Заказчику для разъяснений по этому поводу я тоже послал.</span></div>Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com24tag:blogger.com,1999:blog-6761422180668784528.post-68031340232152091342012-06-20T06:37:00.001-07:002013-04-15T11:27:40.518-07:00Защищенный доступ к web-серверу или когда стоит проводить оценку влияния на СКЗИ<div dir="ltr" style="text-align: left;" trbidi="on">
Ну что, начну писательство потихоньку. Тем более появился такой хороший повод - опубликовать официальный ответ представителей ФСБ по поводу необходимости проведения оценки влияния на СКЗИ при организации защищенного доступа к web-серверу.<br />
<br />
Для тех, кто не в курсе. Что такое "оценка влияния" и с чем её едят - ну допустим взяли вы какое-нибудь ПО или написали сами и хотите интегрировать в него нашу, любимую сердцу, отечественную криптографию (для шифрования данных или подписания с помощью ЭЦП и т.п.). Наиболее часто встречающаяся задача такого типа - это организация защищенного доступа к web-серверу через TLS-соединения (HTTPS-сервер, если проще). Понятно, что для этого нужно взять отечественное криптоядро (СКЗИ типа КриптоПро CSP, ViPNet CSP или других). И вот тут встает вопрос (на самом деле у многих по незнанию он даже не встает) - а достаточно ли просто использования сертифицированного ФСБ такого криптоядра или нужно ещё что-то? Вот в рамках ответа на этот вопрос и ФСБ и говорит об оценке влияния ПО на СКЗИ. Процедура это нетривиальная, нужно писать ТЗ с моделью нарушителя, согласовывать его в ФСБ, проводить испытания, при этом проводить их должны организации с лицензией ФСБ или вообще испытательные лаборатории ФСБ (в зависимости от класса применяемого СКЗИ). Сложно!!! Я постараюсь разнести все по полочкам, чтобы было ясно, как можно избежать этой процедуры.<br />
<br />
Первое, что вы должны сделать - это посмотреть формуляр на криптоядро (вы можете скачать его с сайта вендора или запросить, если он не опубликован). Внимательно его изучите. Там указывается когда и при каких условиях следует проводить оценку влияния ПО на СКЗИ. Для ViPNet CSP, например, это п. 9 раздела 3, для КриптоПро CSP - п.1.5 раздела 1. Прочитали - и поняли, надо вам её делать или нет. Есть правда в данном моменте одна юридическая несостыковка. Существует ещё такой документ в ФСБ - ПКЗ-2005, где описывается порядок разработки, эксплуатации и прочего СКЗИ для информации, не составляющей гос. тайну. Так вот в нем также указана необходимость проведения оценки влияния (п.35), есть в нем и п.3, который один в один совпадает с теми условиями, которые прописаны в формулярах СКЗИ. <b>Но!!!</b> есть и п.4, который определяет условия, когда положения ПКЗ-2005 являются только рекомендациями (в том числе и п.35), и вот это в формулярах не учтено. Т.е. возможны условия, когда по ПКЗ-2005 мы на оценку влияния не выходим, а вот по формуляру почему-то должны (к примеру при защите коммерческой тайны негосударственными органами).<br />
<br />
Первый шаг я описал, допустим пока что мы выходим на необходимость оценки влияния. Но это ещё не конец, и вот тут начинается самое интересное - мы изучаем формуляр дальше <span style="background-color: white;">(и другие документы разработчика СКЗИ, для КриптоПро, например, это документ "Описание реализации")</span><span style="background-color: white;">. И находим в этих документах перечень ПО и ОС, под управлением которых это СКЗИ штатно работает. Если наше ПО, с которым будет работать СКЗИ, входит в этот перечень, то проблема решена - оценку влияния проходить не надо. Если ПО, которое мы будем использовать, входит в состав ОС, которые указаны в документах СКЗИ - то тоже оценку влияния проводить не надо. В частности это касается встроенных в ОС веб-серверов и браузеров. </span><span style="background-color: white;">Если же мы не попадаем под этот перечень ПО, то вынужден вас огорчить - оценку влияния делать придется.</span><br />
<span style="background-color: white;"><br /></span>
<span style="background-color: white;">Таким образом, делаю заключительный практический вывод - если вам надо организовать например защищенный доступ к веб-серверу с передачей защищаемой законом информации или вы являетесь органом исполнительной власти (см. п.3 ПКЗ-2005) и вы не хотите проходить через оценку влияния - организуйте его встроенными средствами ОС, подходящей под выбранное криптоядро. Для продуктов КриптоПро CSP и ViPNet CSP - это брузер IE, веб-сервер IIS, веб-сервер Apache (из состава ОС Linux). Для подтверждения своих выводов публикую официальный ответ представителей ФСБ на этот счет.</span><br />
<span style="background-color: white;"><br /></span>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAIzSyQQtQmABlEUPo_5eJw21WFxHg2g31YBZhz9ZfM1WbavI-RGHzcgTOU1QvDeR0gFo11VV1IM1TcRqMbDQTiMniEdLmGCWdUQFou5H2MypsPCsG1yArzaCvYg0HDPF6XDirfFozGa__/s1600/1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAIzSyQQtQmABlEUPo_5eJw21WFxHg2g31YBZhz9ZfM1WbavI-RGHzcgTOU1QvDeR0gFo11VV1IM1TcRqMbDQTiMniEdLmGCWdUQFou5H2MypsPCsG1yArzaCvYg0HDPF6XDirfFozGa__/s320/1.jpg" width="243" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrmX6mpCmCvRzWGFLOpfC_PNWs9qj4oW2IPICEFwN2v5c-xr2okx2Yc9CZ6ldaIBz13JqvvRFwKzBTZPJhb5QM7TfauAjJ_M_J9vDrC8p26xKB1NlZSRBMUFiy6zRYo4tlZflzvDwuzxaW/s1600/%D0%91%D0%B5%D0%B7%D1%8B%D0%BC%D1%8F%D0%BD%D0%BD%D1%8B%D0%B9.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="311" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrmX6mpCmCvRzWGFLOpfC_PNWs9qj4oW2IPICEFwN2v5c-xr2okx2Yc9CZ6ldaIBz13JqvvRFwKzBTZPJhb5QM7TfauAjJ_M_J9vDrC8p26xKB1NlZSRBMUFiy6zRYo4tlZflzvDwuzxaW/s320/%D0%91%D0%B5%D0%B7%D1%8B%D0%BC%D1%8F%D0%BD%D0%BD%D1%8B%D0%B9.jpg" width="320" /></a></div>
<div style="text-align: center;">
<span style="background-color: white;"><br /></span></div>
<span style="background-color: white;"><br /></span>
<span style="background-color: white;">Да граждане, на забываем, что все это касается только работы с прикладным ПО, если мы говорим о VPN-системах, то здесь нужна обязательная отдельная сертификация ФСБ, об этом уже много где говорилось.</span></div>
Михаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.com1