четверг, 29 сентября 2011 г.

СЗПДн. Анализ. Роскомнадзор и биометрия

На днях довелось поучаствовать в обсуждении результатов проверки одного оператора с Управлением Роскомнадзора по КК. Впечатление об этом органе у меня испортилось. До этого считал и надеялся, что к логичным и аргументированным доводам они прислушиваются.
На основании того, что у оператора обрабатываются ксерокопии паспортов, Роскомнадзор сделал вывод что оператор обрабатывает биометрические ПДн и выкатил предписание о нарушениях при подаче уведомления и отсутствии согласия на обработку биометрических ПДн.
 Основным аргументом Роскомнадзора, объясняющим такую позицию был “мы получили от руководства четкие указания категорировать фотографии паспорта и все их копии как биометрические ПДн. Если не согласны – можете оспорить в суде”. Дополнительным озвученным аргументом было “Фотография может использоваться только для идентификации человека. Соответственно либо Вы используете и тогда это биометрия, либо вы не используете и тогда это избыточные данные”.
Когда оператор, желая не вступать в конфликт и устранить нарушения малой кровью, решил уничтожить все обрабатываемые фотографии – Роскомнадзор сделал ещё более хитрый ход. Потребовали приказ и акте назвать “об уничтожении биометрических ПДн” и по тексту написать соответственно.  Вот так РКН подстраховывается делая спорные выводы.
В дополнение к этому уже мелочи:
·       Если в рамках проверки был предоставлен перечень лиц допущенных к обработке ПДн, но Роскомнадзор считает что перечень не полный, то пишут не стесняясь – “не были предоставлены документы …, не установлен перечень лиц …”.
·       Роскомнадзор так и не разобрался в термине Лицо ответственное за обработку ПДн по поручению оператора (ЛООПДППО). Приходят к ЛООПДППО и пишут в акте нарушение – “в договоре с … отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке”.



UDP. В ходе решения проблемы позвонили в московский центральный РКН - там сказали что конечно же скан паспорта не является биометрией.


После того как мы предложил включить в конференцию Московский и Краснодарский РКН - они сказали что в случае таких расхождейний надо писать официальный запрос письмом.


И наконец на официальный запрос письмом с описанием всей проблематики РКН ответил что их управление не уполномочено комментировать законы РФ.


среда, 28 сентября 2011 г.

СЗПДн. Проектирование. Рекомендации Минздравсоцразвития


Министерство здравоохранения и социального развития Российской Федерации недавно выпустило комплект новых методических документов 

2.     «Методические рекомендации по порядку организации работ по созданию субъектом российской федерации в 2011-2012 годах регионального фрагмента единой государственной информационной системы в сфере здравоохранения»
4.     «Методические рекомендации по составу, создаваемых в 2011 – 2012 годах в рамках реализации региональных программ модернизации здравоохранения, прикладных компонентов регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним»
5.     «Методические рекомендации по оснащению медицинских учреждений компьтерным оборудованием и программным обеспечением для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним»


С точки зрения информационной безопасности наибольший интерес представляют 1 и 3 документ.

В методических рекомендациях по проведению работ по ИБ определен типовой перечень этапов работ:
1.     Предпроектная стадия, включающая предпроектное обследование информационных систем персональных данных (далее – ИСПДн);
2.     Стадия разработки «Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости»;
3.     Стадия разработки организационно-распорядительной и нормативно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных (далее – ПДн) и эксплуатации системы защиты персональных данных (далее – СЗПДн) в ИСПДн;
4.     Стадия проектирования (разработки проектов), включающую разработку СЗПДн в ИСПДн;
5.     Стадия ввода в действие СЗПДн, включающую опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.
Так-же в методических рекомендациях по ИБ по проведению работ по ИБ указывается, что работы по ИБ необходимо выполнять в соответствии с документами Регуляторов и «Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости» (далее - методические рекомендации), утвержденными 23.12.2009.
Напомню, что рекомендации от 23.12.2009 были разработаны на основе отмененных документов ФСТЭК. Как ими можно руководствоваться и какой их частью – непонятно.

Так-же в методических рекомендациях по ИБ по проведению работ по ИБ даются некоторые положения, касающиеся выбора СЗИ:
·       “Необходимо обеспечить возможность интеграции с СЗИ Минздравоцразвития.”
А откуда в местном органе здравоохранения данные о СЗИ Минздравоцразвития?
·       СКЗИ должны быть сертифицированы и иметь Заключение о корректности встраивания СКЗИ если, например КриптоПро встраивается в средство построения VPN.
·       Необходимо выбирать “промышленные решения уровня предприятия”. Что это за промышленные решения?

В методических рекомендациях по сетевому телекоммуникационному оборудованию приводятся явные и сильно ограничивающие требования к сетевому оборудованию. В них не хватает только названия продукта, но из требований оно однозначно следует. Для примера,  единственное оборудование подходящее под требования:
·       WAN-маршрутизатор для среднего ЦОД       -    межсетевой экран Juniper SRX240.
·       Программно-аппаратный комплекс обеспечения безопасности информации и управления событиями (SIEM), а также системе определения аномалий сетевого поведения (NBAD) - Juniper STRM2500.
·       WAN-маршрутизатор для ЛПУ - стационар - Juniper SSG140.
·       WAN-маршрутизатору для ЛПУ - Крупный стационар - Juniper SRX1400
·       Коммутатору доступа для ЛПУ - Крупный стационар - Juniper EX2200
·       Коммутатору агрегации для ЛПУ - Крупный стационар - Juniper EX2500.

пятница, 23 сентября 2011 г.

СЗПДн. Анализ. Контактные ПДн

В любой организации обрабатываются контактные ПДн: логин, ФИО, должность, отдел, рабочий телефон, сотовый телефон, адрес электронной почты. При этом ПДн могут принадлежать как сотрудникам Организации, так и партнерам, клиентам, кандидатам на работу и т.п.
Контактные ПДн как содержатся в телефонных справочниках, корпоративных справочных порталах, в базе пользователей AD, в корпоративной почтовой системе и вообще почти в любой информационной системе Организации (так как в любой ИС есть база пользователей, в которой заполняются логин, ФИО, должность, отдел).
В связи с этими ПДн возникает 2 группы проблемных задач:
· обеспечить безопасности ПДн, необходимыми мерами.
1. Обеспечить соблюдение принципов обработки ПДн, определенных 152-ФЗ
В части ПДн сотрудников всё хорошо.
Во-первых, такая обработка попадает в исключение п. 5) части 1 статьи 6 из 152-ФЗ и соответственно согласие на такую обработку собирать не требуется.
«5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;»
Во-вторых сотрудники находятся недалеко, с них можно и письменное согласие собрать при необходимости.
А вот партнеры, клиенты, кандидаты – пишут нам письма, дают между делом визитки и собрать с них согласие в письменном виде никак не представляется возможным.
Собственно, что мы можем сделать?
· отказаться от контактов с потенциальными партнерами и клиентами.
· обрабатывать общедоступные ПДн, попадающие в исключение п. 10) части 1 статьи 6 из 152-ФЗ. Но общедоступными ПДн могут стать только с письменного согласия субъекта в соответствии с частью 1 статьи 8 из 152-ФЗ. Такой вариант нам тоже не выполнить.
И тут на выручку нам приходит п. 7) части 1 статьи 6 из 152-ФЗ, который дает основания обрабатывать контактные ПДн для осуществления прав и законных интересов Организации.
Альтернативным вариантом может являться принятие факта отправки вам письма или передачи визитки за заключение договора в форме устной сделки. Что будет подходить под исключение п. 5) части 1 статьи 6 из 152-ФЗ.
2. Обеспечить безопасности ПДн, необходимыми мерами.
Основной проблемой в данной задаче является тот факт, что контактные данные обрабатываются на всех 100% АРМ и серверов. А ставить использовать СЗИ, прошедшие оценку соответствия, на всех 100% АРМ не хотелось бы.
Собственно, что мы можем сделать?
· Отказаться от использования, каких либо корпоративных систем или справочников на этом АРМ или сервере. Тогда зачем он вообще нужен этот АРМ?
· Обезличить ПДн обрабатываемые на большинстве узлов и как следствие получим возможность не защищать такие ПДн.
Если речь идет о контактных ПДн сотрудников – то необходимо будет выделить базу с полной контактной информацией (ФИО, должность,телефон) и удалить эту информацию из всех систем оставив только логины или табельные номера.
Если говорить об AD и различных корпоративных приложениях – то проблем нет.
Если говорить об электронной почте и телефонных справочниках – то ими будет невозможно пользоваться, потому что невозможно будет найти нужного нам сотрудника.
Ещё хуже с контактной информацией партнеров, клиентов, кандидатов. Если информацию обезличить – то использовать контактную информацию будет невозможно, что приведет к невозможности контактов с этими лицами.
· Сделать ПДн общедоступными и как следствие получим возможность не защищать такие ПДн.
Как уже упоминалось выше, собрать согласия на общедоступность в письменном виде с внешних лиц не представляется возможным. С сотрудников вполне можно собрать такое согласие при устройстве на работу.

Таким образом, мы приходим к выводу, что единственным нормальным вариантом оптимизации является: выделение сотрудников которым по должностным обязанностям необходимо взаимодействовать с партнерами, сотрудниками и кандидатами. На их АРМ контактные данные не могут быть обезличенными или общедоступными и подлежат защите.
На остальных АРМ и серверах останутся только контактные данные сотрудников, которые объявляются общедоступными в соответствии с собираемым согласием.

пятница, 16 сентября 2011 г.

СЗПДн. Анализ. СЗИ или не СЗИ

Одним из наиболее часто встречаемых проблемных вопросов является “что должно проходить оценку соответствия?” при защите ПДн.
Хотелось бы затронуть этот вопрос, не касаясь того “как оценивать соответствие”. Варианты оценки соответствия неоднократно обсуждались коллегами, например тут и тут.
В большинстве встреченных мною проектов в качестве способа оценки соответствия выбиралась сертификация, но в месте с тем, использовались только сертифицированные средства защиты от НСД, МЭ, СКЗИ, СОВ, антивирус, сканер безопасности. Средства резервного копирования и восстановления, системы управления оставлялись без внимания.

152-ФЗ. В части 2 статье 19:
«2. Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации»
Применение СЗИ, прошедших оценку соответствия является только одним из способов достижения обеспечения безопасности ПДн.
Постановление Правительства 781:
«2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.»
Как видно СЗПДн включает в себя:
· Организационные меры;
· Средства защиты информации;
· Средства предотвращения несанкционированного доступа;
· Средства предотвращения утечки информации по техническим каналам;
· Средства предотвращения программно-технических воздействий на технические средства обработки ПДн.
Постановление Правительства 781:
«5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.»
И только средства защиты информации должны пройти оценку соответствия.
Положение о методах и способах защиты информации в ИСПДн, Утвержденное 58-ым приказом ФСТЭК:
«1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы …
2.1. Методами и способами защиты информации от несанкционированного доступа являются:
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.»
То есть использование средств защиты информации, прошедших оценку соответствия, является только одним из возможных методов.
С одной стороны мы видим, что для обеспечения безопасности ПДн кроме средств защиты информации могу использоваться ещё какие-то меры, методы, способы, средства, для которых требований оценки соответствия не предъявляется.
Попробуем провести границу между этими множествами.
Обратимся к ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
«2.7.2 средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.»
Так как все в Положении ФСТЭК методы и способы являются методами и способами защиты информации, то любое техническое, программное, программно-техническое средство, вещество и (или) материал используемый для реализации этих методов будет являться средством защиты информации.
В соответствии с этим мы имеем:
· Средство централизованного управления СЗПДн - реализует методы и способы защиты информации в соответствии с пунктом 2.4 Положения ФСТЭК – следовательно, СЗИ.
· Средство обеспечивающее дублирование массивов информации - реализует методы и способы защиты информации в соответствии с пунктом 2.1 Положения ФСТЭК – следовательно, СЗИ.
· Средство анализа защищенности (сканнер безопасности) - реализует методы и способы защиты информации в соответствии с пунктом 2.4 Положения ФСТЭК – следовательно, СЗИ.
· Тест-программы, имитирующие попытки несанкционированного доступа – реализует методы и способы защиты информации в соответствии с пунктом 2.1, 2.2, 2.3, 4.1, 4.2, 4.3 приложения к Положению ФСТЭК – следовательно, СЗИ.
· Средства централизованного управления событиями ИБ – не реализует методов и способов перечисленых в Положении ФСТЭК, не могут предотвратить утечек или воздействий – следовательно могут не относится к СЗИ.


четверг, 8 сентября 2011 г.

СОИБ. Анализ. Защита от неактуальных угроз.

Давно хотел обсудить вопрос о неактуальных угрозах.
Допустим мы провели в Компании моделирование угроз (оценку рисков связанных с этими угрозами) в соответствии с РД по ФСТЭК, ISO 27005-2008 или РС БР ИББС-2.2-2009. В результате мы получили 2 перечня – перечень актуальных угроз (неприемлемых рисков) и перечень неактуальных угроз (приемлемых рисков). При этом часть неактуальных угроз получилась в результате того, что в Компании уже применяются определенные меры обеспечения ИБ (организационные, технические, СЗИ).
Далее, в большинстве случаев, про перечень неактуальных угроз забывается, работа идет только с перечнем актуальных угроз, на основе него создается план мероприятий по защите (обработки неприемлемых рисков), ТЗ на систему обеспечения ИБ, в проекте на система обеспечения ИБ описывается меры необходимые для выполнения ТЗ и нейтрализации актуальных угроз. С одной стороны всё логично. Никаких требований или рекомендаций связанных с неактуальными угрозами нет.
С другой стороны такая ситуация опасна. Допустим, на момент анализа угроз в организации проводились оргмеры по обеспечению доверенности администраторов (полиграф), видеоконтроль помещения или прокси-сервер фильтрующий трафик. Эти меры повлияли на оценку угроз (рисков), но в дальнейшем ни в один план, ТЗ, проект или описание системы защиты не попали, так как риски связанные с угрозами определены приемлемыми. Через некоторое время эти меры могут быть отменены за ненадобностью, потому что не требуются внутренними документами.
Коллеги, как думаете нужно поступать с контрмерами по неактуальным угрозам? В каких документах их фиксировать и как обеспечить чтобы про их необходимость не забыли?

вторник, 6 сентября 2011 г.

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 3

В одном из предыдущих сообщений (1 и 2) я рассмотрел несколько инструментов оценки соответствия стандарту СТО БР ИББС.
Сегодня хочу написать ещё несколько слов протестированном инструменте ISM Revision: Audit Manager от ISM SYSTEMS.
Основные особенности:

· Позволяет заранее определить программу аудитов и самооценок и проводить их в соответствии с программой.
· Позволяет сформировать план мероприятий в рамках самооценки. Но мероприятия разбиты на «анализ документов» и «проведение самооценки на месте». А логично было бы выделить «проведение наблюдений» и «проведение опросов».
· План мероприятий очень ограничен. Кроме названий мероприятия и даты – ничего нельзя зафиксировать. А хотелось бы внести участников и хотя бы перечни ключевых вопросов.
· Позволяет описать документальные свидетельства, прикрепить файлы.
· Позволяет задокументировать наблюдения и опросы. Но получившийся перечень свидетельств не содержит полей для подписи со стороны проверяемой стороны. Нет возможности гарантировать достоверность свидетельств.
· При ответе на уточняющие вопросы есть возможность привести основания, рекомендации, прикрепить свидетельства. Но это всё не жестко требуется. Можно просто выставить оценку.
· При оценке частных показателей, для информации приводятся связанные уточняющие вопросы и показатели связанные с данным.
· При оценке частных показателей из M1-M6, оценка может выставляться выставляется по 3 направлениям (БПТП, БИТП, ОЗПД).
· В системе уже жестко закреплены шкалы оценки показателей. Так что если разработчик выставил их правильно, то аудитор не сможет ошибиться.
· В системе есть возможность создания ответов по всем направлениям. Но подтверждение соответствия отправляемое в ЦБ почему-то не содержит круговой диаграммы. А её стоило бы включить.
· UPD: В системе нет возможности экспортировать, импортировать оценку и сравнить результаты нескольких оценок.
· В демо-версии нет возможности добавлять пользователей, ограничено количество частных показателей. С демо-версией приходится работать по протоколу HTTP, так что заполнять туда реальные данные не советую.
· По цене (45 000 руб. в год за SaaS или 95 000 руб. за полноценный сервер) – дешевле Пацифики, но дороже BSAT и Estimate Tool.
Обнаруженные косяки:
· UPD: В системе некорректно рассчитывается групповой показатель если он полностью неактуален. Система оценивает его как 0. В диаграмме этот показатель тоже 0. Ситуация конечно редкая, но всё-таки надо поправить.
· В браузере Google Chrome 8 – есть проблемы с масштабированием и не прокручиваются перечни частных показателей.
Но в целом продукт хороший. Реализованы фишки, которых пока нет у других.
Для самооценки продукт уже достаточен.
Для использования аудитором надо доработать модуль планирования и добавить возможность сравнения результатов.