пятница, 24 декабря 2010 г.

СЗПДн. Анализ. Основания и сроки обработки ПДн

Одни из наиболее частых вопросов, возникающих при обработке ПДн - это как определить сроки обработки ПДн и что делать если субъект ПДн отозвал согласие на обработку ПДн.

В принципе ничего сложного в этих вопросах нет. Надо для каждой цели обработки ПДн и для каждого типа субъектов ПДн, определить основания для обработки ПДн (не считая согласия) и сроки обработки ПДн установленные в различных нормативных документах.

Как видно из приведенной ниже таблицы, в большинстве случаев при отзыве согласия или прекращении действия договора не требуется немедленное уничтожение ПДн.

Результатом анализа будет например следующая таблица:
Наименование ИСПДн
Правовое основание для обработки ПДн(законодательный акт/статья, другие юридические документы)
Сроки и основание для хранения ПДн
ИСПДн обработки клиентских данных
1) Договор с клиентом
2) ГК РФ
1) До окончания срока договора
2) 3 года после окончания договора, для исков - Статья 196. ГК РФ
3) 5 лет после окончания договора - Пункт 220, 436 Перечня утвержденного приказом инистерство культуры российской федерации от 25 августа 2010 г. № 558
4) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки ПДн для пропуска посетителей
Согласие на обработку
1) архивное хранение - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки данных покупателей оборудования
Договор с покупателем
1) 5 лет после окончания договора - Пункт 220, 436 Перечня утвержденного приказом инистерство культуры российской федерации от 25 августа 2010 г. № 558
2) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182
ИСПДн обработки бухгалтерских данных сотрудников
1) Договор с сотрудником
2) Федеральный закон №213-ФЗ от 24.07.09 "О страховых взносах в ПФ РФ, ФСС, ФФОМС и ТФОМС.
3) Налоговый кодекс РФ
4)Гражданский кодекс
1) До окончания срока договора с сотрудником
2) Не менее пяти лет после года, в котором они использовались для составления бухгалтерской отчетности в последний раз - ст. 17 ФЗ-129 "О бухгалтерском учете" от 21.11.1996
3) архивное хранение после окончания срока договора - постоянно в электронных БД. Пункт 1851, 1925 Переченя утвержденного "Приказом Минкультуры РФ от 31 июля 2007 г. № 1182

четверг, 16 декабря 2010 г.

Обучение. Вебинар Информзащиты - особенности обеспечение безопасности ПДн Медицинских учреждений

Сегодня участвовал в этом вебинаре.
Ключевые моменты:
  • ЛПУ - это операторы ПДн
  • Есть примеры что ЛПУ проверяет Роскомнадзор. Возбуждены дела об административном нарушении.
  • Чаще всего в ЛПУ обрабатываются специальные категории ПДн. Следовательно на любые действия с ПДн необходимо письменное согласие субъекта ПДн. В том числе становится проблематичным использование сторонних ЦОД, сервисов и обслуживающих организаций. В то же время ЛПУ обязаны передавать информацию в ФОМС, страховые компании и т.п.
  • Методрекомендации Минздравсцразвития имеют существенные недостатки. Не учитывают приказа 58, противоречат ПП и т.п.
  • Дальше пошло описание подхода Информзащиты к защите ПДн без всякой привязки к медицинским учреждениям.
  • Необходимо получение лицензии для всех ЛПУ. Рекомендуют использовать услуги лицензиатов. Спорное утверждение что эксплуатация СЗПДн не относится к технической защите.
  • Далее было краткое описание СЗИ Кода безопасности без какой-либо привязки к медицинским учреждениям
В части вопросы-ответы было интереснее:
1) Необходимость передачи ПДн специальной категории по телефону при вызове скорой помощи - можно использовать робота-автоотвечик, предупреждающего позвонившего. Придется ставить Call-центр.
2) При передаче данных в ОМС, согласие не требуется, так как необходимость определена законом. Но при этот 44 статья определяет максимальный перечень передаваемых ПДн. Если он будет большим - то требуется согласие.
3) Методические рекомендации - потому и рекомендации что их не обязательно выполнять, но при желании можно руководствоваться.
4) При работе с тонких клиентов - достаточно обеспечить невозможность несанкционированного личного доступа к терминалу и этого достаточно (момент спорный, зависит от того насколько тонкий клиент)
5) Передача ФИО - это передача обезличенных данных (спорный момент, в ряде случаев по ФИО можно однозначно определить субъекта)
6) Передача номера паспорта - это передача обезличенных данных
7) В терминальных решениях - мы ставим на сервер терминалов и на серверах приложений - клиентов СЗИ.
8) ФИО + дата рождения + мед данные - это необезличенные данные 1-ой категории.
9) Внеплановые проверки по ПДн по жалобам субъектов теперь исключены. Но сотрудник может пожаловаться на несоблюдение трудового кодекса и к вам придет совместная проверка Роскомнадзора и Роструда


Удивила фраза Михаила Емельянникова "я не работаю с МИАЦ и не работаю с поликлиниками, я не могу сказать как у них делается подключение".



вторник, 14 декабря 2010 г.

СОИБ. Проектирование. Разработка регламентов по безопасности



При разработке регламентов по информационной безопасности возникла необходимость в стандартизации. Для планирования регламента для конкретного заказчика очень удобным получилась методология EPC (Event-driven process chain - событийная цепочка процессов)




Диаграмма, описанная в нотации EPC, представляет собой упорядоченную комбинацию событий и функций. Для каждой функции могут быть определены начальные и конечные события, участники, исполнители и документальные потоки, сопровождающие её.

Для разработки есть бесплатная утилита Aris Express http://www.ariscommunity.com/aris-express, в которой можно выполнить планирование и экспортировать результаты для того чтобы продолжить оформление регламента в Microsoft Word.


среда, 1 декабря 2010 г.

СЗПДн. Анализ. Косить с КС2

Давно занимает дилема с моделью нарушителя безопасности ПДн.

В соответствии с методическими документами ФСБ России, если мы определяем что для нас актуальным является внутренний нарушитель - то есть сотрудник имеющий доступ к штатным средствам обработки информации - то мы приходим к нарушителю Н2 и соответственно к уровню криптографической защиты КС2.

Но уровень КС2 очень не удобен, когда речь идет о защите VPN для удаленных пользователей. Ведь тогда придется использовать электронные замки. Соответственно решение по удаленному доступу сразу теряет половину своих преимуществ (придется для каждого ноутбука подбирать индивидуальное средство).

Если мы объявляем и обосновываем, что внутренний нарушитель у нас не актуален и все сотрудники доверенные лица, можно использовать КС1. Но мы начинаем противоречить факту, что 80% наиболее опасных нарушений ИБ выполняется именно внутренними нарушителями.

среда, 17 ноября 2010 г.

Обучение. Infosecurity

Вот я и посетил наконец это мероприятие.
Запомнилась 20-ти минутная прогулка по парку до здания экоцентра.
Было много докладов хороших и не очень.

Много разговоров про проблему ИБ виртуализации и облачных вычислений.
Соответствено много повторений.

Понравились доклады Лукацкого и специалистов TrendMicro.

На стендах интеграторов (Элвис, РНТ, и тд) идут свои секции докладов по впариванию клиентам своих услуг.

Из приятного:
Check Point и КС2 - уже делали, так что это реально
Check point Endpoint Protection планируется сертификация по МЭ и ТУ (в начале 2011)
Check point 7.1 - будет серийным сертифицированным производством
Stonesoft - в январе заканчивают сертификацию на СКЗИ. Есть вероятность что им удастся договорится с ФСБ на КС2 без электронных замков
TrendMicro - сертифицируют производство по антивирусу и Deep Protection.

Из веселого:
Алексей Лукацкий в своем докладе говорит что надо впаривать стекхолдерам/бизнесу на его языке, чтобы объяснить им необходимость проекта, а потом доказать что он получился успешным.
Следующий докладчик из PricewaterhouseCoopers говорит "я считаю что ИБ не должна ничего впаривать бизнесу. С ним надо дружить и ему помогать" :)

воскресенье, 14 ноября 2010 г.

Общее. Сравнение лицензиатов ФСТЭК по ИБ Краснодарского края

Чтобы немного оправдать название, решил провести небольшое сравнение лицензиатов ФСТЭК России в Краснодарском крае в сфере информационной безопасности. (По данным из http://www.fstec.ru/_doc/per_org_at/_orgat.xls). Так как в наше время web сайт это лицо компании, то выбрал методику сравнения компаний на основе информации размещенной на публичном web портале.
Перечень компаний имеющих лицензию ФСТЭК России:
· ООО "Евромост-Защита", г. Краснодар, адрес web сайта http://evromost.ru/zashita/page.php?id=7.
· ЗАО "Орбита", г. Краснодар, адрес web сайта http://www.orbitacom.ru/
· Краснодарский филиал ФГУП "ЦентрИнформ", г. Краснодар, адрес web сайта http://www.atlas-west.aaanet.ru/
· ООО "РосИнтеграция", г. Краснодар, адрес web сайта http://www.rosint.net
В перечне так-же значатсяся но не попали в дальнейший анализ:
· ФГУП "Научно-технический центр "Атлас" (Краснодарский филиал). Но по по информации с сайта ФГУП "Научно-технический центр "Атлас" http://web.stcnet.ru/subsidiaries/ , филиал в Краснодаре отсутствует. Срок лицензии закончился.
· ООО Научно-технический центр "Сонар-Плюс", г. Краснодар, адрес web сайта http://www.sonarplus.ru/. По информации с сайта основной дейтельностью компании является разработка ПО. Среди разрабатываемого по отсутствуют средства защиты информации.
· Василиади Станислав Иванович, г Новороссийск. Отсутствует web сайт.

Сравнение лицензиатов ФСТЭК России в Краснодарском крае в сфере информационной безопасности:
Характеристики
ООО "Евромост-Защита"
ЗАО "Орбита"
Краснодарский филиал ФГУП "ЦентрИнформ"
ООО "РосИнтеграция"
Свидетельство активности компании
Дата последней новости о компании на сайте.
Web сайт скорее мертв чем жив. Последняя новость от 08-04-2010.
Новости активно обновляются.
Последння новость от 12.11.2010.
Есть анонсы о будующих мероприятиях - на 19.11.2010
Последння новость от 17.10.2010.
Последння новость от 12.10.10
Информация об активном участии в мероприятия по ИБ в 2010 году
Информацияо мероприятиях в 2010 году отсутствует
Большое количество мероприятий. Последяя информаци на 19.11.2010 – Совместное проведение семинара «Решения Cisco в области информационной и физической безопасности, беспроводных сетей и информационно-телекоммуникационных систем»
Информацияо мероприятиях в 2010 году отсутствует
Проведен ряд мероприятий. Последняя новость от 12.10.2010 -
Участие в совещании ГУ ЦБ по теме внедрения комплекса БР ИББС Банка России
Наличие свидетельств легальной деятельности в сфере ИБ (лицензий, сертификатов и т.п.)
Копия лицензии по ТЗКИ отсутствует на web сайте. По информации с сайта ФСТЭК лицензия выдана на срок до 28.11.2010
Есть раздел посвяещенный лицензиям. Все выложенные копии лицензий - актуальны
Копия лицензии по ТЗКИ отсутствует на web сайте.
Есть раздел посвяещенный лицензиям. Все выложенные копии лицензий - актуальны
Информация о членстве в профессиональных ассоцияциях по ИБ
Отсутствует информация об участии в ассоциациях

Сообщество ABISS, Ассоциация защиты информации

Отсутствует информация об участии в ассоциациях
Отсутствует информация об участии в ассоциациях
Деятельность в сфере ИБ
Комплекс узлуг по защите персональных данных
Да
Да
Нет
Да
Аудит ИБ
Да
Да
Нет
Нет
НИОКР (научно-исследовательские и опытно-конструкторские работы
Нет
Да
Нет
Нет
Проектирование систем защиты информации
Да
Да
Нет
Да
Проведение монтажных и пусконаладочных работ СЗИ
Да
Да
Нет
Да
Техническая поддержка и сервисное обслуживание СЗИ
Нет
Да
Нет
Нет
Аутсорсинг
Да
Да
Нет
Да
Услуги удостоверяющего центра
Нет
Да
Да
Да
Аттестация
Да
Да
Нет
Да
Помощь в получении лицензий ФСТЭК
Да
Да
Нет
Нет
Продажа СЗИ
Да
Да
Да
Да
Типовые решения и проекты ИБ
Предлагаемые компанией типовые решения
Защита от утечек по техническим каналам;
Построение DLP-систем;
Построение защищенных сетей (VPN);
Антивирусная защита;
Криптографическая защита информации;
Защита от несанкционированного доступа
Управление доступом пользователей;
Антивирусная защита;
Межсетевое экранирование;
Системы обнаружения вторжений;
Построение виртуальных частных сетей;
Обеспечение юридически значимого документооборота;
Защита мобильных мест;
Контроль использования сервисов обмена информацией;
Централизованное управление системой защиты информации
Отправка отчености
Защита Пдн;
Защита от НСД;
Защищенные мультисервисные сети;
Решения «Кода Безопаности»
Информация о выполенных проектах в сфере ИБ и отзывы заказчиков
Информация о выполенных проектах в сфере ИБ и отзывах заказчиков отсутствует
Выделенный раздел по выполненным проектам по ИБ отсутствует.
Есть информация о комплексных проектах включающих в себя различне сферы деятельности.
Отсутствуют сроки начала и завершения проектов.
Информация о выполенных проектах в сфере ИБ и отзывах заказчиков отсутствует
Информация о выполенных проектах в сфере ИБ и отзывах заказчиков отсутствует

Собственно можно сделать вывод, что ИБ компании недостаточно внимания уделяют своим публичным web сайтам.
Наполнение лучше всего представлена у компании ЗАО "Орбита". Но и на её сайте отсутствует информация о ключевых реализованных проектах. А ведь эта информация может иметь решающее значение для потенциальных заказчиков.


среда, 10 ноября 2010 г.

СЗПДн. Анализ. Документация по ПДн нижнего уровня

В сети есть достаточно большое количество аналитики с примерами по комплекту документов которые необходимо вести в связи с обработкой ПДн.
Прямо какое-то соревнование идет - кто больше документов придумает.

В то же время не видел, чтобы кто-то обосновывал необходимость по каждому документу, а так-же необходимость ведения этих документов в бумажном виде.

Проведя анализ нормативных и методических документов связных с обработкой и защитой ПДн, не нашел требований по ведению документов нижнего уровня (актов, журналов, реестров, списков, описаний, заявок на доступ) именно в бумажном виде. Исключение - журнал учета СКЗИ (его форма определена в явном виде).

Соответственно почему бы не вести документы нижнего уровня в электронном виде, ведь это может существенно снизить трудо-зартраты связанные с требованиями по ПДн?

воскресенье, 31 октября 2010 г.

СОИБ. Внедрение. Сертифицированное средство обнаружения вторжений







До недавнего времени перечень доступных для заказа сертифицированных СОВ включал в себя IBM Proventia IPS.





Дело в том что в 2007 году Информзащита сертифицировала партию из 300 экземпляров и сертифицированные версии можно было купить со склада Информзащиты. Но несколько месяцев назад эта партия всётаки закончилась, а малой кровью сертифицировать ещё одну партию у Информзащиты не получится, потому что IBM произвела модернизацию линейки на IBM Proventia IPS v2.
Слух о том что новая линейка IBM будет сертифицирована до конца года - не подтвердился. Сертификацией линейки новой версии занимается специализированная организация и она же будет продавать сертифицированные версии IBM Proventia IPS.

В данной ситуации остается
  • либо рисковать - закупая не сертифицированную версию, в надежде потом сертифицировать малой кровью
  • либо не покупать и ждать окончания сертификации
  • либо покупать IPS которые поставляются уже сертифицированными: Stonegate IPS, Security Studio Endpoint Protection или Форпост


понедельник, 25 октября 2010 г.

СОИБ. Анализ. Требования к защите систем общего пользования

Со второго ноября вступает в силу совместный приказ ФСТЭК России и ФСБ России от 31 августа 2010 г. N 416/489.

Данный приказ вводит классификацию (государственных) информационных систем общего пользования (I и II класс)

Большинство требований достаточно понятны и логичны, кроме одного ньюанса. Для систем I класса обязательными является применение ряда сертифицированных ФСБ России средств защиты.

Проблема в том, что средства обнаружения компьютерных атак, средства межсетевого экранирования, сертифицированные ФСБ России фактически отсутствуют на рынке.

Требование к системе защиты информации
I Класс
II Класс
1
Подсистема защиты от НСД
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России или ФСТЭК России
2
Подсистема регистрации событий доступа
v
v
3
Подсистема записи трафика
Не менее 10 дней
Не менее суток
4
Подсистема криптографической защиты (ЭЦП)
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России
5
Подсистема антивирусной защиты
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России или ФСТЭК России
6
Подсистема обнаружения вторжений
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России или ФСТЭК России
7
Подсистема межсетевого экранирования
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России или ФСТЭК России
8
Подсистема обеспечения непрерывности работы
Сертифицированные ИБП
ИБП
9
Резервное оборудование и ПО
Частичное резервирование оборудования
10
Средства резервного копирования и восстановления
Средства резервного копирования и восстановления
11
Подсистема физической защиты
СКУД, видеонаблюдение
СКУД


Мероприятия по созданию системы защиты
I Класс
II Класс
1
Разработка модели угроз
v
v
2
Разработка проекта защиты
v
v
3
Поставка и сертификация средств защиты информации
v
v
4
ПНР
v
v
5
Уведомления о готовности
ФСБ России
ФСТЭК России
6
Передача в эксплуатацию
v
v

Так-же необходимо выполнение ряда организационных мероприятий, для обеспечения которых необходимо разработать регламентирующие документы, например:
  • Регламент управления событиями
  • Регламент управления инцидентами
  • План обеспечения непрерывности работы
  • Регламенты восстановления
Ещё одно из новшеств - это сканирование защищенности ИС общего пользования подразделением ФСБ России.

Видимо в ФСБ приобрели сканер защищенности типа XSpider с неограниченной лицензией.

Всё бы ничего - но нужен грамотный регламент проведения такой проверки.

Во первых для того чтобы сканирование не нарушило работоспособности ИС - необходимо грамотно подбирать шаблоны сканирования.
Во вторых администраторы ИС общего пользования должны быть уведомлены в какое время и с каких адресов проводится сканирование.