среда, 30 декабря 2015 г.

СОИБ. Анализ. 10 лучших практик по ИБ для Гос

Примерно месяц назад довелось выступить на совете ИБ правительства одной из республик. Дали всего 15 минут, при этом надо было рассказать что-то интересное в дополнение к выступлениям местных ФСТЭК и ФСБ. Решил сделать в виде 10 лучших практик / советов на основе опыта компании в работах с Гос.

Выкладываю презентацию тут – возможно для кого-то будет полезной.

среда, 23 декабря 2015 г.

СОИБ. Исследования. Безопасность top 100 интернет-банков (DSec) и Экспертная оценка потерь от мошенничества (Джет)

За последнюю неделю российские ИБ компании опубликовали 2 интересных отчета: “Безопасность веб-ресурсов банков России” от Digital Security и “Экспертная оценка годовых потерь от мошенничества” от Инфосистем Джет. Посмотрим на наиболее интересные моменты этих исследований.

1. Исследование от DSec было достаточно простым: взяли доменные имена интернет-банков топ 100 банков России и не уведомляя владельцев провели простейшие проверки, связанные настройками web серверов и dns. Подобные проверки может провести любой исследователь запуская публично доступные утилиты типа qualys ssl server test 100 раз.

Но что мне понравилось в этом отчете: подробно и грамотно были описаны проверяемые параметры и возможные последствия от неправильной настройки. Подача информации в такой форме понятна неспециалисту по ИБ и может быть использована оператором web сервисов. Это я считаю основным достижением исследования и его отличием от других подобных исследований как тут и тут.

В целом по результатам исследования можно сделать вывод что настройки web сервисов интернет банков в среднем недостаточные.



2. Экспертная оценка специалистов компании «Инфосистемы Джет» по противодействию мошенничеству представляет из себя скорее набор инфографики. И собственно инфографика хороша. А вот методику расчетов и источники сбора данных решили не раскрывать видимо, чтобы не возникло ненужной критики и обсуждений.

Вопрос о применении отчета по всей видимости надо решать так: если вы доверяете специалистам Джет-а, то данные оценки будут вам весьма полезны:

потери от мошенничества растут по всем направлениям
 


особенно растут направлениям мошенничества в сфере закупок,  дополнительных сервисов и мобильной коммерцией






пятница, 18 декабря 2015 г.

СЗПДн. Законодательство. Изменение Уведомления РКН об обработке ПДн

Роскомнадзор наконец выпустил долгожданный приказ о внесении изменений в административный регламент РКН поведению реестра операторов ПДн.


Изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу летом текущего года, и Роскомнадзор уже требовал с операторов указывать эти данные в уведомлении. А вот какие именно данные надо указывать и в каком именно месте уведомления – ответа не было.

Новый приказ решает эти проблемы – поменялась форма уведомления в бумажном и электронном виде

С бумажной формой все просто. Добавилось 2 строчки в которых нужно указать: страну, адрес местонахождения БД, наименование ИС (базы данных).


А вот на операторов, решившие отправить уведомление в электронной форме берут на себя большую нагрузку:
·         Помимо адреса БД, нужно указать - собственность ЦОДа, сведения об организации ответственно за хранение данных


·         Помимо общей информации, теперь нужно указывать большое количество характеристик (категории, перечни действий, наличие тр. передачи, сведения местонахождении БД) каждой ИСПДн, используемой в организации


Нужно ли подавать информацию в РКН о местонахождении БД в соответствии с новым приказом? Явно в самом приказе это не оговаривается.

Мое мнение - нужно:
·         во-первых, данные поданные в уведомлении периодически меняются (цели, категории, адреса, состав мер) и в соответствии с пунктом 7 статьи 22 152-ФЗ уведомлять РКН все равно придется регулярно
·         во-вторых, РКН при проверке по формальным признакам определит несоответствие тех данных которые требуются пунктом 3 статьи 22 и тех данных которые поданы Оператором



воскресенье, 13 декабря 2015 г.

СЗПДн. Культура эксплуатации ИСПДн и СЗПДн


Регулярно сталкиваюсь с ситуацией, когда в организации проведены работы по организации обработки и защиты ПДн, создании СЗПДн в соответствии с требованиями законодательства, но через некоторое время система защиты теряет эффективность, разработанные документы не выполняются, появляются несоответствия требованиям.

Иногда это связано с отношением организаций к проектам compliance (соответствия требованиям законодательства) как к разовым, которые можно выполнять раз в три года и в промежутках забывать о них. Иногда у организации создается впечатление что требования невозможно выполнить и выполнять постоянно, поэтому основной акцент делается на подготовку к проверкам регуляторов – compliance на время проверки.

По-моему мнению, требования законодательства в сфере обработки и защиты ПДн несложные, их можно выполнить и обеспечить их выполнение  постоянно. Даже если относится к процессам управления безопасностью ПДн как к циклическим "Планирование-реализация-проверка-совершенствование" (PDCA)  -  нужно сокращать время цикла - проверку и совершенствование делать раз в полгода. Но ещё более эффективным будет понимание, что большинство требуемых мер нужно выполнять постоянно, поэтому они должны относится к процессам эксплуатации ИС и СЗПДн.

Для того чтобы выполнять требования постоянно во время эксплуатации ИС и СЗПДн в организации должна создаваться определенная культура, в соответствии которой действуют все ответственные лица организации (перечень основных действующих ролей я уже приводил в одной из предыдущих статей). В идеале мы должны разработать правила, которые будут требовать от ответственных лиц выполнять действия сразу же после наступления определенных событий. К этому можно стремится, но на промежуточном этапе можно зафиксировать некоторые небольшие промежутки времени, по истечении который проверять - не упустили ли мы какое-то событие и не должны ли принять определенные меры.

Подготовил таблицу, содержащую роли лиц, задействованных в мероприятиях по обработке или защите ПДн, мероприятия, которые требуются законодательством, среднестатистическую частоту мероприятий в год для взятой для примера организации (100 пользователей ИСПДн, обрабатывают данные более 1000 субъектов ПДн) и рекомендованную регулярность выполнения мероприятий на промежуточном этапе. Возможно кому-то будет полезной: можно ознакомится по ссылке.

Наиболее часто встречаемые и интересные мероприятия выбрал в отдельную табличку по размеру слайда презентации.





понедельник, 23 ноября 2015 г.

Общее. New generation решения Кода Безопасности

      19 ноября 2015 прошла lite пресс-конференция Кода Безопасности “Трансформация ИБ-решений в российских реалиях”

В начале Конференции представитель TAdviser рассказал о том, что в 2015 г. рост рынка ИБ составит 0%, при этом закупать импортное ПО поИБ меньше не стали, а к 2018 г. существенно снизится роль бумажной безопасности.




Продолжил развивать эту мысль Андрей Голов, генеральный директор КБ, который пообещал, что к 2018 г. решения Кода Безопасности будут отличатся в первую очередь функциональными возможностями и удобством, а во вторую уже сертификатами. У КБ есть инвестиции от заказчиков покрывающие 100% стоимости будущих разработок, но обязательное условие – обеспечить функциональность и качество на уровне западных решений.

Подтверждают движение КБ в этом направлении следующие этапы: технологическое партнерство с ESET и анонс двух next generation решений Secret Net Studio и СОВ Континент 4.0.
Далее показали новые интерфейсы Secret Net Studio, в том числе и видеоролик в лучших традициях пресс-конференций (прошу прощения за низкое качество, думаю скоро оф. версия будет доступна на сайте вендора). SN Studio включает в себя все необходимые компоненты для защиты узла (возможности СЗИ от НСД, МЭ, СОВ, клиента VPN, 2 вариантов антивируса) объединенных одной платформой и системой управления. Система управления выглядит действительно круто, включает консоли мониторинга и отображения необходимой информации, в том числе предварительную группировку, классификацию и фильтрацию событий.

Наконец то реализовали централизованное развертывание и обновление всех компонентов SN Studio встроенными средствами. В дальнейшем это поможет для накатывания сертифицированных сервис-паков минимальными трудозатратами. Так-же радует план развития – на сертификацию подают на днях и ожидают получения сертификата уже в Q1 2016, а в конце 2016 года мы наконец увидим версию SN Studio централизованное управление и развертывание которой будет работать и без AD.

Про СОВ Континент 4.0 рассказали, что удалось повысить производительность аппаратных платформ в несколько раз, а также существенно улучшить эффективность системы по всем показателям. Хотя для 2016 г. максимальная производительность в 10 Гбит/c может оказаться недостаточной. Интерфейс управления СОВ 4.0 выглядит круто – дэшборды, круговые диаграммы, настраиваемые алерты, изменение критичности событий, изменение критичности защищаемых углов, настраиваемые виджеты.  

Насторожил только тот факт, что на показанных примерах критические события исчислялись тысячами, средней критичности сотнями, а низкой и средней критичности событий не было. Это свидетельствует о том, что после установки системы придется уделить определенное время тонкой настройки чтобы добиться обратного результата: 1-2 критичных события, десятки средней критичности, сотни и тысячи низкой критичности и информационные.  


По поводу сигнатур для СОВ – пока закупают. В следующем году планируется создание подразделения, которое будет заниматься сбором информации с доступных источников и написанием собственным сигнатур. В общем выход СОВ 4.0 на рынок произойдет не так быстро – конец 2016 года.

Также на конференции выступал представитель ESET который рассказал, про процесс интеграции их решения в SN Studio (прошло все очень быстро по меркам R&D – за 8 месяцев) про ожидания выйти за счет интеграции на рынок Гос. заказчиков, в которых он традиционно мало представлен, а так-же решить вопросы импортозамещения.

PS: Не могу не отметить несколько моментов:
·         одно из решений Secret Net Studio было анонсировано до данной пресс-конференции, на общий доступ уже выложена демо. версия и (по заявлениям производителя) её загружали по 300 раз в день, а так-же производителем уже проведено 2 вебинара по SN Studio – так что в этой части новости не получилось
·         на одном из слайдов приглашенный докладчик из TAdviser обозвал Код Безопасности – Информзащитой, (из комментариев в твиттере) наверное на пресс-конференции производителя это ещё обиднее, когда тебя нет в ТОП-е российских компаний по ИБ.

вторник, 10 ноября 2015 г.

СОИБ. Анализ. Почему классические российские производители СЗИ не торопятся с сертификацией?

Есть ряд классических российских производителей СЗИ, которые плотно работают регуляторами и выводят на рынок свои технические решения только после окончания сертификации. Но бывают и в этом механизме и сбои. Вот несколько примеров.

Пример 1. Решения по межсетевому экранированию и криптографической защите семейства ViPNet CUSTOM. Данные СЗИ обычно славились высокими классами защиты и маленькими ограничениями сертифицированных версий и завоевали большую популярность - используются многими коммерческими компаниями для защиты ПДн, используются, наверное, во всех Гос-ах.

В некотором приближении можно сказать что решением ViPNet пользуется полстраны и эти полстраны сейчас страдают – в последней сертифицированной версии 3.2 отсутствует поддержка современных ОС: Windows 8, 8.1, 10, 2012 Server. А между тем Microsoft уже закончила основную поддержку ОС Windows Vista и 7, на которых ещё работает ViPNet.

Версия ViPNet 4.0 была анонсирована аж 2012 году. С тех пор разработана уже версия 4.3.1 и до сих пор ни одного сертификата ФСТЭК или ФСБ. 3 года. Что они делают всё это время? Не могут встроить качественную закладку?

Почему регуляторы устраивают гонения на западных вендоров, не сертифицирующих обновления для закрытия уязвимостей, а тут допускают использование сертифицированного СЗИ, которое не обновлялось уже более 3 лет.

Пример 2. В документации на некоторые свежие СКЗИ указывается требование использовать антивирус, сертифицированный ФСБ России. Возьмем, например, СКЗИ КриптоПро CSP которым пользуется ещё полстраны.

“При эксплуатации СКЗИ ЖТЯИ.00083-01 должны выполняться следующие требования:
5. СКЗИ должно использоваться со средствами антивирусной защиты, сертифицированными ФСБ России. Класс антивирусных средств защиты определяется условиями эксплуатации СКЗИ в автоматизированных системах. В период отсутствия сертифицированных ФСБ России антивирусных средств для операционной системы iOS допускается использование СКЗИ на работающих под управлением операционной системы iOS устройствах без антивирусных средств, при условии загрузки приложений на устройство, на котором используется СКЗИ, только штатным образом.”

Антивирусов, сертифицированных ФСБ России у нас раз-два: Касперский, Dr.Web и непонятное M-42. Куда смотрят другие вендоры - Nod32, Symantec, McAfee, TrendMicro, КБ SSEP, почему не проходят сертификацию в системе ФСБ России? Кто создает монополию?

Пример 3. В июне 2012 года вышли новые требования ФСТЭК России к средствам антивирусной защиты (профили САВЗ). Немалый ряд вендоров уже успели сертифицироваться по новым требованиям -Касперский, TrendMicro, McAfee, КБ SSEP. А вот один помянутый выше вендор тормозит – сертификации по новым требованиям нет у Dr. Web. А ведь требования к новым классам антивирусной защиты приводятся в приказах ФСТЭК России №17, 21, 31.

Недавно Dr.Web вывесил у себя информационное письмо по поводу использования его для защиты ГИС. С одной стороны, это может показаться разрешением использовать в определенных случаях. С другой стороны – это указание не использовать Dr. Web в новых ГИС и при повторной аттестации существующих. Аналогичные рассуждения и выводы можно провести и для ИСПДн.


Вывод из примера 2 и 3 - единственным легитимным антивирусным средством, подходящим для защиты ГИС с СКЗИ у нас является антивирус Касперского.

(UPDATE более корректная формулировка) Вывод из примера 2 и 3 - единственным легитимным антивирусным средством, подходящим для защиты вновь создаваемых ГИС с СКЗИ или при переаттестации существующих ГИС с СКЗИ - у нас является антивирус Касперского.



Пример 4. В феврале 2014 года ФСТЭК России утверждены требования к средствам доверенной загрузки. Прошло почти два года, а сертифицировано только одно СДЗ Alltel TRUST
Чего ждут электронные замки типа Соболь или Аккорд, средства защиты от НСД типа Dallas Lock и Secret Net? Так можно дождаться разрешения использоваться только в старых ГИС и ИСПДн.




понедельник, 9 ноября 2015 г.

СОИБ. Лучшие практики. 20 наиболее важных мер ИБ от CIS

Как-то я пропустил момент, когда Twenty Critical Security Controls for Effective Cyber Defense или Top 20 от SANS превратился в The Center for Internet Security (CIS) Critical Security Controls for Effective Cyber Defense. Произошло это между версиями 4.1 и 5. Далее для повышения эффективности объединились некоммерческие организации Council on CyberSecurity (CCS) и the Center for Internet Security (CIS). А октябре 2015 года вышла уже версия 6.0



Принципы и основная структура документа не изменились. Подробности о них можно почитать одной из предыдущих статей этого блога. Давайте посмотрим, что существенного изменилось:

        Убрали категорирование подконтролей по сложности и цели (Quick wins, Visiblity, Improved, Advanced)
        Добавили категорирование подконтролей по области защиты: System, Network, Application
        Существенно повысили приоритет меры “контролируемое использование административных привилегий” (Controlled Use of Administrative Privileges) – с 12 на 5 место
        Удалили из числа 20 наиболее важных меру “Разработка защищенной сети” (Secure Network Engineering), которая заключалась в разработке и применении дизайна сети с разделением на зоны разной степени защищенности
        Добавили новую меру в число наиболее важных “Безопасная работа электронной почты и web сайтами” (Email and Web Browser Protections), которая включает правильную настройку email клиентов и web браузеров, фильтрацию и аудит web и email трафика
        Для простоты планирования и оценки пронумеровали все подмеры вторым уровнем (CSC 1.1, CSC 1.2, … , CSC 2.1, CSC 2.2, …)
        Разделы мер, связанные с измерениями (Metric) и тестированием (Test) вынесли в отдельный документ A Measurement Companion to the CIS Critical Security Controls. Измерения ИБ стали более четкими, с разделением по подпунктам (1.1, 1.2, …), с указанием рекомендуемых диапазонов значений для разных уровней риска.
        Поменялся (а точнее потерялся) рекомендованный план применения Top 20. В версии 4.1 предлагалось начать с обязательного внедрения первых 5 мер + наиболее быстрых и эффективных подмер (quick wins) из всех мер, далее нужно было запланировать и поэтапно внедрять более сложные подмеры, обеспечивая при этом их постоянный мониторинг и измерение. В версии 6.0 говорится о необходимости внедрения в первую очередь первых 5 мер (связано с национальной публичной компанией Cyber Hygiene, в которой более простым языком описана необходимость и применение первых 5 мер, и которая рассчитывает на максимально широкий круг пользователей), далее порядок применения на усмотрение организации, но нужны все 20 мер.


Что осталось прежним: концепция, заключающаяся в том, что внедрение этих Top 20 мер защитит от большинства угроз ИБ; меры и подмеры отсортированы в порядке приоритета и в таком же порядке их предлагается внедрять (сначала CSC 1 потом CSC 2 … ,  сначала CSC 1.1 потом CSC 1.2 ….); простота мер, их небольшое количество, четкие схемы взаимодействия, простота измерений и проверки, а так-же большое количество организаций и экспертов работающих над совершенствованием документа – делают его полезной лучшей практикой.

К сожалению, для версии 6.0 пока нет таблицы соответствия мерам NIST 800-53, а эту таблицу я использовал для построения соответствия с мерами из приказов ФСТЭК 17, 21, 31.  Но думаю, что в ближайшее время обновлю таблицу из предыдущей статьи.



понедельник, 2 ноября 2015 г.

Общее. Лукакратия на ИБ-мероприятиях

В своей статье Алексей Лукацкий поделился опытом интерактива со слушателями на одной из недавних конференций и вовлечением их в выбор темы пленарной дискуссии.

В этой же статье он предлагает всем спикерам брать эту идею на вооружение - готовить по несколько докладов и давать выбор аудитории. Выглядит это небольшим издевательством. Если бы в доступе организаторов мероприятий было 30-50 Алексеев Лукацких. К сожалению, это не так. Им удается заполучить максимум одного, и то с трудом. 

Там, где у А.Л. подготовка выступления занимает 2-3 часа в ночь перед мероприятием, у других спикеров на подготовку качественного контента уходит несколько дней, а то и недель. Тратить в 3 раза больше времени, чтобы не терять качество выступлений – оно надо спикеру? Тратить столько же времени, но снижать в три раза качество докладов – оно надо слушателям?

Кроме того, есть ограничения – если докладчик спонсор, ему надо отрабатывать бюджет и рассказывать про ходовые решения или услуги, если докладчик со стороны заказчиков – он рассказывает про интересную задачу, которую ему удалось решить и три темы у него может и не набраться.

Выбор, например, 3 спикеров из 5 идея неплохая.  Но чтобы спикеры не тратили значительное время в пустую (как я уже говорил, большинству спикеров, в отличие от Алексея Лукацкого, приходится тратить значительное время), выбор надо делать не на месте, а предварительно – каждому платному посетителю давать 1 голос и за 2 недели до мероприятия отсеивать лишних спикеров.  Возможные проблемы – спикеры могут делать анонс круче чем будет выступление на самом деле (обещать больше); часть спикеров – спонсоры, убрать их доклады не получится.

Более реальные способы учета мнений аудитории:
·         можно спикеру, который получил больше голосов, давать больше времени на выступление
·         давать возможность доп. средствами задавать вопрос спикерам – мобильное приложение, web приложение, twitter, sms
·         давать возможность во время выступления голосовать – нравится или не нравится через мобильное или web приложение, с пульта

Но всё же отмечу что в ИБ мероприятие – это частично шоу. Дают ли организаторы шоу программ возможность выбора для зрителей? На концертах выбирают ли зрители певцов? На открытии / закрытии олимпийских игр – давали ли зрителям возможность выбирать? Нет. Пришел – смотри что показывают. Не нравится - в след. раз иди в другое место. 



четверг, 29 октября 2015 г.

СЗПДн. Анализ. Как аттестовать разом все ИСПДн в России

Как вы, наверное, знаете, аттестация по требованиям безопасности информации используется в качестве мероприятия по оценке эффективности системы защиты – для ГИС/МИС в обязательном порядке, а для ИСПДн рекомендован ФСТЭК-ом как единственный стандартизованный вариант оценки эффективности. По факту все государственные и муниципальные учреждения, а также 25% коммерческих компаний проводят оценку эффективности системы защиты в форме аттестации.

 Как правило аттестация имеет не маленькую стоимость и связанно это с необходимостью привлечения дополнительных лиц, не участвующих в создании системы (независимость контроля), которым нужно повторно собирать и анализировать всю информацию о ИС и системе защиты. Давайте посмотрим, как можно покончить с аттестацией раз и навсегда (на 3 года) в рамках всей РФ.

ГОСТ РО 0043-003-2012:
“6.5.3 Для распределенной информационной системы, предназначенной для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, допускается проводить аттестацию входящих в неё типовых автоматизированных рабочих мест и (или) локальных информационных систем.
Разрешается распространять результаты указанной аттестации на однотипные автоматизированные рабочие места и (или) локальные информационные системы.
Параметры настройки элементов защиты на указанных типовых объектах должны быть одинаковы.
Порядок, условия, методы и особенности проведения аттестации распределенной информационной системы отражаются в программах и методиках испытаний”

ГОСТ РО 0043-004-2013:
“6.1.3 Дополнительно в программе аттестационных испытаний распределенных информационных систем, предназначенных для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, допускается устанавливать особенности аттестации распределенной информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов ....
Сегмент считается соответствующим аттестованному сегменту распределенной информационной системы, если для обоих сегментов установлены одинаковые классы защищенности и состав актуальны угроз безопасности информации, реализованы одинаковые проектные решения по системе защиты информации распределенной информационной системы.
Соответствие сегмента, на который распространяется аттестат соответствия, аттестованному сегменту распределенной информационной системы подтверждается в ходе приемочных испытаний распределенной информационной системы или сегментов распределенной информационной системы.
В сегментах распределенной информационной системы, на которые распространяется аттестат соответствия, оператор обеспечивает соблюдение требований эксплуатационной документации на систему защиты информации распределенной информационной системы и организационно-распорядительных документов по защите информации.”

В некотором приближении – все ИСПДн однотипные. В крайнем случае можно выделить несколько типов локальных ИСПДн, которые будут перекрывать 90% всех ИСПДн в России. Системы защиты информации чаще всего строятся с использованием 1-4 лидирующих технических решениях в своих подсистемах. При этом есть оптимальные отработанные сочетания СЗИ, например: Secret Net + Континент, Dallas Lock + VipNet, Cisco ASA + С-терра CSP VPN Gate. В некотором приближении можно сказать, что 10 комбинациями СЗИ можно покрыть 90% всех СЗПДн в России.

Для каждого типа ИСПДн и СЗПДн аттестацию нужно будет выполнить только один раз, далее на все аналогичные локальные ИС, данный аттестат будет распространяться автоматически при соблюдении определенных условий, которые выполняются лицами, участвующими во внедрении средств защиты информации, без необходимости привлечения отдельных лиц для аттестации. Текущие стандарты и нормы в общем это позволяют.

Итак, что глобально нужно сделать:
·         Ассоциации или государственному органу, заинтересованному в обеспечении эффективности систем защиты ПДн (может быть Минкомсвязи, ФСТЭК России или ФСБ России) заказать развертывание и аттестацию набора N типовых ИСПДн
·         Для каждого типа ИСПДн и СЗПДн опубликовать состав и схемы установки СЗИ, типовые профили настройки СЗИ.  (Например, что-то подобное есть в United States GovernmentConfiguration Baseline – USGCB или FIPS 140-1 and FIPS 140-2 validation lists )
·         Опубликовать правила присоединения типовой ИСПДн к аттестованной (возможно в организации потребуется разработать доп. документы, типа Технического паспорта, и на этапе приемочных испытаний проверить и задекларировать соответствие аттестату)
·         Далее оператор ПДн, выбирает один из предложенных типов, аттестованных ИСПДн и СЗПДн, если его всё устраивает, то присоединяется к аттестату со своей типовой ИСПДн. Если оператор хочет использовать нестандартные решения – это его право, в таком случае оценку эффективности он организует самостоятельно.  




воскресенье, 25 октября 2015 г.

СЗПДн. Анализ. Сколько раз нужно посчитать сотрудников?

Продолжаем цикл не новых, но ещё актуальных проблем – сколько раз и как нужно учесть сотрудников, участвующих в обработке ПДн?  


Давайте посмотрим как это нужно делать в государственных и муниципальных учреждениях, в соответствии с ПП 221:
“б) утверждают актом руководителя государственного или муниципального органа следующие документы:
перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;”

Акт – это скорее всего приказ.  Определяем сотрудников, работающих с ПДн, формируем перечень их должностей – скорее всего делать нужно будет 1 раз, далее он будет меняться редко, скорее при изменении орг. структуры.

Непонятно почему осуществление доступа отделили от обработки ПДн? В соответствии с 152-ФЗ доступ – это один из видов обработки ПДн, а точнее один из видов передачи ПДн.

Давайте посмотрим, что по этому поводу в ПП 1119:
“13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей”

Тут уже сложнее. Во-первых, нужен уже не перечень должностей, а перечень лиц. То есть учитывать придется конкретных сотрудников. Причем имеющих доступ в конкретную ИС. То есть, получаем что нужно вести нужно несколько перечней, и все они будут регулярно меняться. И все нужно утверждать руководителем организации.  

И опять же вопрос, почему учитываем только имеющих доступ, а не осуществляющих обработку?

Давайте теперь заглянем в ПП 687:
“13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.”
Опять перечень конкретных сотрудников, причем с указанием категорий ПДн.

Посмотрим, есть ли какие-то уточнения в приказе ФСБ России №378:
“5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; …
8. Для выполнения требования, указанного в подпункте "в" пункта 5 настоящего документа, необходимо:
а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.”

Опять перечень сотрудников. На всякий случай уточняется что его нужно поддерживать в актуальном состоянии.

Теперь предположим, что у нас в качестве мер защиты используются СКЗИ, обеспечения удаленный доступ к ИСПДн с ноутбуков и мобильных устройств или если персональные межсетевые экраны с функциями VPN клиентов используются для организации выделенной защищенной подсети. Исходя из своего опыта могу сказать, что количество пользователей СКЗИ составляет 20% - 100% от количества пользователей ИСПДн. Придется ли считать их ещё раз?

Приказ ФСБ России №378:
“5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; …
6. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:
…в) утверждения перечня лиц, имеющих право доступа в Помещения.”

Приказ ФАПСИ (ФСБ России) №152:
19.        Физические лица допускаются к работе с СКЗИ согласно перечню пользователей СКЗИ, утверждаемому соответствующим обладателем конфиденциальной информации. До такого утверждения техническая возможность использования СКЗИ лицами, включенными в данный перечень, должна быть согласована с лицензиатом ФАПСИ.
Лицензиаты ФАПСИ в рамках, согласованных с обладателями конфиденциальной информации полномочий по доступу к конфиденциальной информации имеют право утверждать такой перечень в отношении подчиненных им должностных лиц.”
То есть нужно утверждать перечень пользователей СКЗИ, а также перечни доступа в Помещения.

Подведем итог: при обработке ПДн нам нужно подготовить и утвердить руководителем организации 5 перечней разного содержания, связанного с лицами, обрабатывающими ПДн. А эти перечни будут регулярно меняться в связи с увольнением и приемом на работу новых сотрудников или кадровыми перемещениями внутри организации.

Можно ли и нужно ли совмещать это все в одном перечне, включающем в себя перечень лиц, должности, ИСПДн, категории ПДн, СКЗИ, помещения или все-таки вести отдельные перечни? Неплохим вариантом мне представляется учет всех этих данных в каком-то одном месте (системе, БД) из которой автоматически может генерироваться несколько подходящих нам перечней и передаваться на утверждение.

А как вы ведете учет лиц?


среда, 21 октября 2015 г.

СОИБ. Анализ. Суммы хищений от успешных атак

Компания Group-IB, одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, ежегодно выпускает аналитические отчеты о тенденциях развития высокотехнологичных преступлений. В этом году полная версия отчета платная, её можно приобрести за 49 000 руб.



Отчеты как правило интересны своими оценками рынка высокотехнологичных преступлений. Давайте посмотрим какие интересные данные можно подчерпнуть из публично доступной информации за этот год и прошлогодних отчетов.



Основной расчет прост и доступен любому школьнику: берем X (общее число успешных атак в день в России) умножаем на Y (среднюю сумму одного хищения) и умножаем на 249 дней. Итого X*Y*249. Почему 249?  Ответ в отчете “Хищения могут совершаться исключительно в рабочие дни”.  Правда есть не стыковка: согласно производственному календарю в 2013-2015 г. их 247, а вот 249 было в 2012 году.   

Для Юр. Лиц по версии Group IB:  в 2015 году, X = 480 000 руб.Y = 16 успешных атак в день.
В 2014 году X = 40 000$ = 1 600 000 руб. (курс $ на тот момент 40); Y = 24 успешных атак в день.
В 2013 году X = 54 700$ = 1 641 000 руб.; Y = 32 успешных атак в день

Для физ. Лиц. по версии Group IB:  в 2015 году, X = 76 500 руб.Y = 2 успешных атак в день.
В 2014 году X = 2 300$ = 92 000 руб. (курс $ на тот момент 40); Y = 12 успешных атак в день.
В 2013 году X = 2 500$ = 75 000 руб.; Y = 16 успешных атак в день

Что случилось в конце 2014 – начале 2015 года и почему так резко уменьшилось количество атак на физ. лица и сумма хищений с юр. лиц.? Вы сможете это узнать в полной платной версии отчета.
Хотя вряд ли.
В 2014 году, про это не было сказано и слова. А в 2013 году было следующее объяснение: “В результате консультаций с крупнейшими банками РФ и сопоставлением с данными Group-IB оценка средней суммы хищений составила…” “в результате расследований, а также мониторинга активности киберпреступников, специалисты Group-IB выделяют на территории РФ 12 организованных преступных групп…, в среднем одна группа … совершает 4 успешные мошеннические операции в день”.


Средний ущерб по версии Group IB от целевой атаки на банк в 2015 году составил N = 90 000 000 руб.  (Почему суммарный в год получился N*7,0888888 = 638 000 000 руб. остается только догадываться).
В 2014 году ущерб от целевых атак на банки составлял $40 000 000  = 1 600 000 000 руб. (к сожалению без пояснений).


Вот такие интересные и полезные цифры мы получили благодаря отчету Group IB. Несомненно они найдут применение при обосновании бюджетов, проектов и т.п.




вторник, 20 октября 2015 г.

СЗПДн. Анализ. Низы не могут, верхи не хотят.

Летом этого года, в связи с выходом различных комментариев и информационных ресурсов по ПДн от Роскомнадзора несколько экспертов обрушились с жесткой критикой данной Службы: дескать всё неправильно, экспертов не позвали, нельзя РКН ничего комментировать, комментировать можно Минкомсвязи и т.п.
В итоге мы получили ситуацию когда оператор, желающий задать регулятору насущные вопросы, например такие:
1) Относится ли обработка анкет кандидатов на работу с вопросом "Имеется ли у вас судимость?" и вариантами ответа "Да" или "Нет" к обработке персональных данных о судимости (часть 3 статьи 10)? 
2) Относится ли получение от кандидата на работу "справки об отсутствии судимости" и хранение такой справки в организации к обработке персональных данных о судимости (часть 3 статьи 10)?
3) Относится ли обработка персональных данных о судимости к обработке специальных категорий персональных данных (часть 1 статьи 10)?
4) Относится ли код заболевания, указанный в соответствии с Международной статистической классификацией болезней (МКБ) к персональным данным о состоянии здоровья?
5) Относится данные типа "группа инвалидности - вторая" к персональным данным о состоянии здоровья?
6) Относится ли обработка данных о гражданстве в совокупности с ФИО, адресом, паспортными данными к обработке специальных категорий персональных данных (часть 1 статьи 10)?
получает от Роскомнадзора посыл типа:



а от Минкомсвязи ответ следующего содержания:



И кто только учил Минкомсвязи деловой переписке? На шесть конкретных вопросов, получаем 2 цитаты из законодательства и ни одного ответа.  Коллеги – эксперты, это их вы советовали в качестве разъясняющих законодательство? 

Спасибо, не надо. Уж лучше РКН.

PS: Кстати. 26 октября и 2 ноября 2015 года Управление Роскомнадзора по Южному федеральному округу проводит семинары с операторами персональных данных по темам:
·         26.10.2015 в 14-00 по теме: «Законодательство Российской Федерации в сфере обработки персональных данных»
·         02.11.2015 в 14-00 по теме: «Обработка персональных данных работников. Проблемные вопросы обработки персональных данных работников и соискателей»
Запись на участие в семинарах производится не позднее 22.10.2015 по тел. (861) 201-51-30.





четверг, 8 октября 2015 г.

Общее. Почему в БДУ ФСТЭК нет типов угроз?

Имеет место следующая проблема: никто точно не может сказать, что за такие типы угроз безопасности актуальных для информационной системы и как оператор должен их определить. Но зато последствия от данного определения очень значительны: меняется уровень защищенности, классы сертифицированных СЗИ, минимальный потенциал нарушителя, применяются дополнительные сложные меры защиты и т.п.

Вспомним положения законодательства в этой части:
ПП 1119: “6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных". “
Приказ ФСТЭК №21: “11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:
проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
12.
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.”

В проекте новой методики определения угроз безопасности информации в информационных системах ФСТЭК, опубликованной в мае 2015 г., о типах угроз не было ни слова, не смотря на п. 7 ПП 1119.  Таким образом мы всё ещё не знаем точно, какие угрозы к какому типу относятся, и как определить актуальный тип угроз.

В марте 2015 года стал доступен государственный банк данных угроз безопасности информации ФСТЭК – БДУ.  В БДУ на данный момент 152 угрозы. Часть из них связана с использованием уязвимостей (недекларированных возможностей) в системном и прикладном ПО. А вот отметки о том к какому типу относится угрозы – нет. Почему? Кто виноват? Что делать?

Сейчас получается такая ситуация - как принято рекомендовать на конференциях оператор принял для себя актуальным тип 3. Стал рассчитывать актуальность угроз из БДУ - получил актуальными угрозы связанные с НДВ. Получается что нужно переделывать на тип 1. Или как?

Если бы отметка была, то можно было бы реализовать одну из двух возможностей:
·         в зависимости от ранее определенного типа актуальных угроз сразу отфильтровать неактуальные для нас угрозы
·         в зависимости от перечня актуальных угроз автоматически определить тип актуальных угроз

Что делать: добавить к каждой угрозе дополнительную отметку “тип угрозы” со значениями 1, 2, 3; если угроза в текущей формулировке относится сразу к 1 и 2 типу – переформулировать угрозы; в новой методике описать как правильно использовать тип угрозы из БДУ.



воскресенье, 4 октября 2015 г.

СЗПДн. Анализ. Сколько ответственных нужно чтобы вкрутить лампочку ПДн?


Проблема не новая, но ещё актуальна – сколько и каких ответственных нужно назначить, для выполнения требований законодательства в области обработки и защиты ПДн?  
Проведя анализ текущего законодательства (152-ФЗ, ПП 1119, ПП 221, ПП 687, приказ ФСТЭК №21, 17, приказ ФСБ №378, приказ ФАПСИ 152, типовые требования ФСБ №149/6/6-622) получаем следующий перечень ответственных лиц (ролей):
·         ответственный за организацию обработки персональных данных
·         ответственный за определение (и поддержание) целей, правовых оснований, содержания, объема и сроков хранения ПДн, необходимости уведомления РКН
·         ответственный за обезличивание персональных данных
·         ответственный за направление уведомления в Роскомнадзор и проверку актуальности сведений в реестре операторов персональных данных
·         ответственный за пересмотр договоров с субъектами и контрагентами в части обработки персональных данных
·         ответственный за получение согласия субъекта на обработку персональных данных
·         ответственный за взаимодействие с субъектом ПДн при его обращении или в случаях обязательного информирования

·         ответственный за обеспечение безопасности персональных данных в ИСПДн
·         ответственный за администрирование СЗИ (явно требуется только для ГИС)
·         ответственный за выявление инцидентов и реагирование на них
·         ответственный за оценку вреда и определение угроз безопасности персональных данных
·         ответственный за обучение и информирование сотрудников, осуществляющих обработку персональных данных
·         ответственный за обеспечение сохранности носителей ПДн
·         ответственный за обеспечение безопасности помещений с компонентами ИСПДн
·         ответственный за контроль выполнения требований по защите персональных данных
·         орган криптографической защиты / лицо ответственное за криптографическую защиту  / ответственный пользователь криптосредств

Выделены те роли, для которых в явном виде указаны мероприятия, которые необходимо регулярно выполнять. Все задачи по защите ПДн, которые не выделены явно, входят в обязанности ответственного за обеспечение безопасности персональных данных в ИСПДн.

Тут не приведены роли обычных пользователей, администраторов ИСПДн потому что про их обязанности фактически ничего нет в законодательстве. Я бы также добавил их в итоговый перечень ролей, но об этом в следующей заметке. Добавил бы и руководство оператора ПДн как ответственное за перераспределение ответственности.

Приведенную выше ответственность я бы советовал распределять (планировать распределение) на самом раннем этапе работ по организации обработки ПДн и защиты ПДн. В некоторых случаях, когда явно не говорится о назначении лица, можно назначить ответственной за определенные мероприятия комиссию или рабочую группу.