четверг, 29 октября 2015 г.

СЗПДн. Анализ. Как аттестовать разом все ИСПДн в России

Как вы, наверное, знаете, аттестация по требованиям безопасности информации используется в качестве мероприятия по оценке эффективности системы защиты – для ГИС/МИС в обязательном порядке, а для ИСПДн рекомендован ФСТЭК-ом как единственный стандартизованный вариант оценки эффективности. По факту все государственные и муниципальные учреждения, а также 25% коммерческих компаний проводят оценку эффективности системы защиты в форме аттестации.

 Как правило аттестация имеет не маленькую стоимость и связанно это с необходимостью привлечения дополнительных лиц, не участвующих в создании системы (независимость контроля), которым нужно повторно собирать и анализировать всю информацию о ИС и системе защиты. Давайте посмотрим, как можно покончить с аттестацией раз и навсегда (на 3 года) в рамках всей РФ.

ГОСТ РО 0043-003-2012:
“6.5.3 Для распределенной информационной системы, предназначенной для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, допускается проводить аттестацию входящих в неё типовых автоматизированных рабочих мест и (или) локальных информационных систем.
Разрешается распространять результаты указанной аттестации на однотипные автоматизированные рабочие места и (или) локальные информационные системы.
Параметры настройки элементов защиты на указанных типовых объектах должны быть одинаковы.
Порядок, условия, методы и особенности проведения аттестации распределенной информационной системы отражаются в программах и методиках испытаний”

ГОСТ РО 0043-004-2013:
“6.1.3 Дополнительно в программе аттестационных испытаний распределенных информационных систем, предназначенных для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, допускается устанавливать особенности аттестации распределенной информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов ....
Сегмент считается соответствующим аттестованному сегменту распределенной информационной системы, если для обоих сегментов установлены одинаковые классы защищенности и состав актуальны угроз безопасности информации, реализованы одинаковые проектные решения по системе защиты информации распределенной информационной системы.
Соответствие сегмента, на который распространяется аттестат соответствия, аттестованному сегменту распределенной информационной системы подтверждается в ходе приемочных испытаний распределенной информационной системы или сегментов распределенной информационной системы.
В сегментах распределенной информационной системы, на которые распространяется аттестат соответствия, оператор обеспечивает соблюдение требований эксплуатационной документации на систему защиты информации распределенной информационной системы и организационно-распорядительных документов по защите информации.”

В некотором приближении – все ИСПДн однотипные. В крайнем случае можно выделить несколько типов локальных ИСПДн, которые будут перекрывать 90% всех ИСПДн в России. Системы защиты информации чаще всего строятся с использованием 1-4 лидирующих технических решениях в своих подсистемах. При этом есть оптимальные отработанные сочетания СЗИ, например: Secret Net + Континент, Dallas Lock + VipNet, Cisco ASA + С-терра CSP VPN Gate. В некотором приближении можно сказать, что 10 комбинациями СЗИ можно покрыть 90% всех СЗПДн в России.

Для каждого типа ИСПДн и СЗПДн аттестацию нужно будет выполнить только один раз, далее на все аналогичные локальные ИС, данный аттестат будет распространяться автоматически при соблюдении определенных условий, которые выполняются лицами, участвующими во внедрении средств защиты информации, без необходимости привлечения отдельных лиц для аттестации. Текущие стандарты и нормы в общем это позволяют.

Итак, что глобально нужно сделать:
·         Ассоциации или государственному органу, заинтересованному в обеспечении эффективности систем защиты ПДн (может быть Минкомсвязи, ФСТЭК России или ФСБ России) заказать развертывание и аттестацию набора N типовых ИСПДн
·         Для каждого типа ИСПДн и СЗПДн опубликовать состав и схемы установки СЗИ, типовые профили настройки СЗИ.  (Например, что-то подобное есть в United States GovernmentConfiguration Baseline – USGCB или FIPS 140-1 and FIPS 140-2 validation lists )
·         Опубликовать правила присоединения типовой ИСПДн к аттестованной (возможно в организации потребуется разработать доп. документы, типа Технического паспорта, и на этапе приемочных испытаний проверить и задекларировать соответствие аттестату)
·         Далее оператор ПДн, выбирает один из предложенных типов, аттестованных ИСПДн и СЗПДн, если его всё устраивает, то присоединяется к аттестату со своей типовой ИСПДн. Если оператор хочет использовать нестандартные решения – это его право, в таком случае оценку эффективности он организует самостоятельно.  




воскресенье, 25 октября 2015 г.

СЗПДн. Анализ. Сколько раз нужно посчитать сотрудников?

Продолжаем цикл не новых, но ещё актуальных проблем – сколько раз и как нужно учесть сотрудников, участвующих в обработке ПДн?  


Давайте посмотрим как это нужно делать в государственных и муниципальных учреждениях, в соответствии с ПП 221:
“б) утверждают актом руководителя государственного или муниципального органа следующие документы:
перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;”

Акт – это скорее всего приказ.  Определяем сотрудников, работающих с ПДн, формируем перечень их должностей – скорее всего делать нужно будет 1 раз, далее он будет меняться редко, скорее при изменении орг. структуры.

Непонятно почему осуществление доступа отделили от обработки ПДн? В соответствии с 152-ФЗ доступ – это один из видов обработки ПДн, а точнее один из видов передачи ПДн.

Давайте посмотрим, что по этому поводу в ПП 1119:
“13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей”

Тут уже сложнее. Во-первых, нужен уже не перечень должностей, а перечень лиц. То есть учитывать придется конкретных сотрудников. Причем имеющих доступ в конкретную ИС. То есть, получаем что нужно вести нужно несколько перечней, и все они будут регулярно меняться. И все нужно утверждать руководителем организации.  

И опять же вопрос, почему учитываем только имеющих доступ, а не осуществляющих обработку?

Давайте теперь заглянем в ПП 687:
“13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.”
Опять перечень конкретных сотрудников, причем с указанием категорий ПДн.

Посмотрим, есть ли какие-то уточнения в приказе ФСБ России №378:
“5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; …
8. Для выполнения требования, указанного в подпункте "в" пункта 5 настоящего документа, необходимо:
а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.”

Опять перечень сотрудников. На всякий случай уточняется что его нужно поддерживать в актуальном состоянии.

Теперь предположим, что у нас в качестве мер защиты используются СКЗИ, обеспечения удаленный доступ к ИСПДн с ноутбуков и мобильных устройств или если персональные межсетевые экраны с функциями VPN клиентов используются для организации выделенной защищенной подсети. Исходя из своего опыта могу сказать, что количество пользователей СКЗИ составляет 20% - 100% от количества пользователей ИСПДн. Придется ли считать их ещё раз?

Приказ ФСБ России №378:
“5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; …
6. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:
…в) утверждения перечня лиц, имеющих право доступа в Помещения.”

Приказ ФАПСИ (ФСБ России) №152:
19.        Физические лица допускаются к работе с СКЗИ согласно перечню пользователей СКЗИ, утверждаемому соответствующим обладателем конфиденциальной информации. До такого утверждения техническая возможность использования СКЗИ лицами, включенными в данный перечень, должна быть согласована с лицензиатом ФАПСИ.
Лицензиаты ФАПСИ в рамках, согласованных с обладателями конфиденциальной информации полномочий по доступу к конфиденциальной информации имеют право утверждать такой перечень в отношении подчиненных им должностных лиц.”
То есть нужно утверждать перечень пользователей СКЗИ, а также перечни доступа в Помещения.

Подведем итог: при обработке ПДн нам нужно подготовить и утвердить руководителем организации 5 перечней разного содержания, связанного с лицами, обрабатывающими ПДн. А эти перечни будут регулярно меняться в связи с увольнением и приемом на работу новых сотрудников или кадровыми перемещениями внутри организации.

Можно ли и нужно ли совмещать это все в одном перечне, включающем в себя перечень лиц, должности, ИСПДн, категории ПДн, СКЗИ, помещения или все-таки вести отдельные перечни? Неплохим вариантом мне представляется учет всех этих данных в каком-то одном месте (системе, БД) из которой автоматически может генерироваться несколько подходящих нам перечней и передаваться на утверждение.

А как вы ведете учет лиц?


среда, 21 октября 2015 г.

СОИБ. Анализ. Суммы хищений от успешных атак

Компания Group-IB, одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, ежегодно выпускает аналитические отчеты о тенденциях развития высокотехнологичных преступлений. В этом году полная версия отчета платная, её можно приобрести за 49 000 руб.



Отчеты как правило интересны своими оценками рынка высокотехнологичных преступлений. Давайте посмотрим какие интересные данные можно подчерпнуть из публично доступной информации за этот год и прошлогодних отчетов.



Основной расчет прост и доступен любому школьнику: берем X (общее число успешных атак в день в России) умножаем на Y (среднюю сумму одного хищения) и умножаем на 249 дней. Итого X*Y*249. Почему 249?  Ответ в отчете “Хищения могут совершаться исключительно в рабочие дни”.  Правда есть не стыковка: согласно производственному календарю в 2013-2015 г. их 247, а вот 249 было в 2012 году.   

Для Юр. Лиц по версии Group IB:  в 2015 году, X = 480 000 руб.Y = 16 успешных атак в день.
В 2014 году X = 40 000$ = 1 600 000 руб. (курс $ на тот момент 40); Y = 24 успешных атак в день.
В 2013 году X = 54 700$ = 1 641 000 руб.; Y = 32 успешных атак в день

Для физ. Лиц. по версии Group IB:  в 2015 году, X = 76 500 руб.Y = 2 успешных атак в день.
В 2014 году X = 2 300$ = 92 000 руб. (курс $ на тот момент 40); Y = 12 успешных атак в день.
В 2013 году X = 2 500$ = 75 000 руб.; Y = 16 успешных атак в день

Что случилось в конце 2014 – начале 2015 года и почему так резко уменьшилось количество атак на физ. лица и сумма хищений с юр. лиц.? Вы сможете это узнать в полной платной версии отчета.
Хотя вряд ли.
В 2014 году, про это не было сказано и слова. А в 2013 году было следующее объяснение: “В результате консультаций с крупнейшими банками РФ и сопоставлением с данными Group-IB оценка средней суммы хищений составила…” “в результате расследований, а также мониторинга активности киберпреступников, специалисты Group-IB выделяют на территории РФ 12 организованных преступных групп…, в среднем одна группа … совершает 4 успешные мошеннические операции в день”.


Средний ущерб по версии Group IB от целевой атаки на банк в 2015 году составил N = 90 000 000 руб.  (Почему суммарный в год получился N*7,0888888 = 638 000 000 руб. остается только догадываться).
В 2014 году ущерб от целевых атак на банки составлял $40 000 000  = 1 600 000 000 руб. (к сожалению без пояснений).


Вот такие интересные и полезные цифры мы получили благодаря отчету Group IB. Несомненно они найдут применение при обосновании бюджетов, проектов и т.п.




вторник, 20 октября 2015 г.

СЗПДн. Анализ. Низы не могут, верхи не хотят.

Летом этого года, в связи с выходом различных комментариев и информационных ресурсов по ПДн от Роскомнадзора несколько экспертов обрушились с жесткой критикой данной Службы: дескать всё неправильно, экспертов не позвали, нельзя РКН ничего комментировать, комментировать можно Минкомсвязи и т.п.
В итоге мы получили ситуацию когда оператор, желающий задать регулятору насущные вопросы, например такие:
1) Относится ли обработка анкет кандидатов на работу с вопросом "Имеется ли у вас судимость?" и вариантами ответа "Да" или "Нет" к обработке персональных данных о судимости (часть 3 статьи 10)? 
2) Относится ли получение от кандидата на работу "справки об отсутствии судимости" и хранение такой справки в организации к обработке персональных данных о судимости (часть 3 статьи 10)?
3) Относится ли обработка персональных данных о судимости к обработке специальных категорий персональных данных (часть 1 статьи 10)?
4) Относится ли код заболевания, указанный в соответствии с Международной статистической классификацией болезней (МКБ) к персональным данным о состоянии здоровья?
5) Относится данные типа "группа инвалидности - вторая" к персональным данным о состоянии здоровья?
6) Относится ли обработка данных о гражданстве в совокупности с ФИО, адресом, паспортными данными к обработке специальных категорий персональных данных (часть 1 статьи 10)?
получает от Роскомнадзора посыл типа:



а от Минкомсвязи ответ следующего содержания:



И кто только учил Минкомсвязи деловой переписке? На шесть конкретных вопросов, получаем 2 цитаты из законодательства и ни одного ответа.  Коллеги – эксперты, это их вы советовали в качестве разъясняющих законодательство? 

Спасибо, не надо. Уж лучше РКН.

PS: Кстати. 26 октября и 2 ноября 2015 года Управление Роскомнадзора по Южному федеральному округу проводит семинары с операторами персональных данных по темам:
·         26.10.2015 в 14-00 по теме: «Законодательство Российской Федерации в сфере обработки персональных данных»
·         02.11.2015 в 14-00 по теме: «Обработка персональных данных работников. Проблемные вопросы обработки персональных данных работников и соискателей»
Запись на участие в семинарах производится не позднее 22.10.2015 по тел. (861) 201-51-30.





четверг, 8 октября 2015 г.

Общее. Почему в БДУ ФСТЭК нет типов угроз?

Имеет место следующая проблема: никто точно не может сказать, что за такие типы угроз безопасности актуальных для информационной системы и как оператор должен их определить. Но зато последствия от данного определения очень значительны: меняется уровень защищенности, классы сертифицированных СЗИ, минимальный потенциал нарушителя, применяются дополнительные сложные меры защиты и т.п.

Вспомним положения законодательства в этой части:
ПП 1119: “6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных". “
Приказ ФСТЭК №21: “11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:
проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
12.
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.”

В проекте новой методики определения угроз безопасности информации в информационных системах ФСТЭК, опубликованной в мае 2015 г., о типах угроз не было ни слова, не смотря на п. 7 ПП 1119.  Таким образом мы всё ещё не знаем точно, какие угрозы к какому типу относятся, и как определить актуальный тип угроз.

В марте 2015 года стал доступен государственный банк данных угроз безопасности информации ФСТЭК – БДУ.  В БДУ на данный момент 152 угрозы. Часть из них связана с использованием уязвимостей (недекларированных возможностей) в системном и прикладном ПО. А вот отметки о том к какому типу относится угрозы – нет. Почему? Кто виноват? Что делать?

Сейчас получается такая ситуация - как принято рекомендовать на конференциях оператор принял для себя актуальным тип 3. Стал рассчитывать актуальность угроз из БДУ - получил актуальными угрозы связанные с НДВ. Получается что нужно переделывать на тип 1. Или как?

Если бы отметка была, то можно было бы реализовать одну из двух возможностей:
·         в зависимости от ранее определенного типа актуальных угроз сразу отфильтровать неактуальные для нас угрозы
·         в зависимости от перечня актуальных угроз автоматически определить тип актуальных угроз

Что делать: добавить к каждой угрозе дополнительную отметку “тип угрозы” со значениями 1, 2, 3; если угроза в текущей формулировке относится сразу к 1 и 2 типу – переформулировать угрозы; в новой методике описать как правильно использовать тип угрозы из БДУ.



воскресенье, 4 октября 2015 г.

СЗПДн. Анализ. Сколько ответственных нужно чтобы вкрутить лампочку ПДн?


Проблема не новая, но ещё актуальна – сколько и каких ответственных нужно назначить, для выполнения требований законодательства в области обработки и защиты ПДн?  
Проведя анализ текущего законодательства (152-ФЗ, ПП 1119, ПП 221, ПП 687, приказ ФСТЭК №21, 17, приказ ФСБ №378, приказ ФАПСИ 152, типовые требования ФСБ №149/6/6-622) получаем следующий перечень ответственных лиц (ролей):
·         ответственный за организацию обработки персональных данных
·         ответственный за определение (и поддержание) целей, правовых оснований, содержания, объема и сроков хранения ПДн, необходимости уведомления РКН
·         ответственный за обезличивание персональных данных
·         ответственный за направление уведомления в Роскомнадзор и проверку актуальности сведений в реестре операторов персональных данных
·         ответственный за пересмотр договоров с субъектами и контрагентами в части обработки персональных данных
·         ответственный за получение согласия субъекта на обработку персональных данных
·         ответственный за взаимодействие с субъектом ПДн при его обращении или в случаях обязательного информирования

·         ответственный за обеспечение безопасности персональных данных в ИСПДн
·         ответственный за администрирование СЗИ (явно требуется только для ГИС)
·         ответственный за выявление инцидентов и реагирование на них
·         ответственный за оценку вреда и определение угроз безопасности персональных данных
·         ответственный за обучение и информирование сотрудников, осуществляющих обработку персональных данных
·         ответственный за обеспечение сохранности носителей ПДн
·         ответственный за обеспечение безопасности помещений с компонентами ИСПДн
·         ответственный за контроль выполнения требований по защите персональных данных
·         орган криптографической защиты / лицо ответственное за криптографическую защиту  / ответственный пользователь криптосредств

Выделены те роли, для которых в явном виде указаны мероприятия, которые необходимо регулярно выполнять. Все задачи по защите ПДн, которые не выделены явно, входят в обязанности ответственного за обеспечение безопасности персональных данных в ИСПДн.

Тут не приведены роли обычных пользователей, администраторов ИСПДн потому что про их обязанности фактически ничего нет в законодательстве. Я бы также добавил их в итоговый перечень ролей, но об этом в следующей заметке. Добавил бы и руководство оператора ПДн как ответственное за перераспределение ответственности.

Приведенную выше ответственность я бы советовал распределять (планировать распределение) на самом раннем этапе работ по организации обработки ПДн и защиты ПДн. В некоторых случаях, когда явно не говорится о назначении лица, можно назначить ответственной за определенные мероприятия комиссию или рабочую группу.