понедельник, 19 ноября 2018 г.

ИБ. Круглый стол с регуляторами на конференции Роскомнадзора по ЗПДн


8 ноября 2018 года принимал участие в международной конференции Защита персональных данных, организованной при поддержке Роскомнадзора. Мой отчет про основную часть мероприятия можно будет почитать по ссылке. 


Тут же хочу отдельно написать про последнюю часть - Круглый стол с регуляторами. Ниже привожу наиболее интересные ответы, которые удалось услышать на мероприятии (кроме круглого стола, было несколько интересных вопросов на секциях):
·         Вопрос к Роскомнадзору: В законодательстве РФ запрещено проверять одни и те же требования, несколькими регуляторами. Как вы выходите из этого при пересечении с ЦБ РФ или Роструда?
Ответ Роскомнадзора: у нас нет никаких пересечений. В сферу Роскомнадзора входит только 14 статья ТК РФ, остальное проверяет Трудовая инспекция. Также и со специфическими законами (например, идентификация клиентов) – Роскомнадзор их не учитывает и не проверяет.
·         Вопрос к Роскомнадзору: что считать автоматизированной обработкой?
Ответ Роскомнадзора: если подразумевается фиксация ПДн на материальных носителях определенной формы – то РКН считает это неавтоматизированной обработкой.
·         Вопрос к Роскомнадзору: возьмем, например, рецепт. Это небольшой документ. Если применить к нему правила, установленные ПП 687 к типовым формам с ПДн (цели, сроки, наименование и адрес оператора, правила обработки), то это станет здоровенный документ. Но ничего же – живем и с 2008 г. никто не менял.
Ответ Роскомнадзора: если унифицированные формы утверждены актами гос. органов или гос. стандартами, то такие формы менять не нужно. А в остальных случаях, когда форма придумывается организацией, для каких-то своих собственных целей – тогда исполнение пункта 7 ПП 687 обязательно.
·         Вопрос к Роскомнадзору: какой подписью можно подписывать согласие на обработку ПДн в электронной форме.
Ответ Роскомнадзора: достаточно простой ЭП.
·         Вопрос к Роскомнадзору: какие ситуации можно подтянуть под законный интерес и не собирать согласия.  Например, сбор данных родственников работника или передача данных работника в банк.
Ответ Роскомнадзора: сейчас на уровне рабочих групп Цифровой экономики чтобы определить границы законного интереса. Пока окончательного ответа нет. Но по указанным примерам, РКН считает так – если речь о данных самого сотрудника, то можно. А если о третьих лицах (родственниках), то дополнительное согласие обязательно.
·         Вопрос к Роскомнадзору: со скольки лет действительно согласие на обработку ПДн не/совершеннолетнего, право распоряжения своими ПДн.
Ответ Роскомнадзора: мы считаем, до 14 лет – законные представители, а с 14 лет может давать согласие сам несовершеннолетний.
·         Вопрос к Роскомнадзору: могут ли суммироваться штрафы по статье 13.11. Например, если пострадало 10 тыс. субъектов.  
Ответ Роскомнадзора: За этот год составлено всего лишь 98 протоколов о правонарушении. В большинстве случаев, когда сталкиваются с нарушением – истекает срок давности привлечения к ответственности.
Но текущие формулировки статьи 13.11 позволяют трактовать её так что если факты нарушений выявлены по нескольким лицам, то по каждому факту можно привлекать. Но сейчас у РКН нет задачи массового поражения. На текущий момент массовых наказаний не зафиксировано.  
·         Вопрос к Роскомнадзору: согласно обновленным правилам услуг связи – телефонный номер относится к аппаратному средству. Будет ли теперь считаться что телефонный номер теперь не ПДн?   
Ответ Роскомнадзора: Мы всегда внимательно следим за изменениями законодательства, если уж подход поменялся, мы не будем против. Теперь считаем, что просто телефонный номер – это не ПДн, а атрибут аппаратного средства связи, так же как номер авто – это атрибут транспортного средства.
·         Вопрос к ЦБ РФ: как ЦБ РФ будет осуществлять надзор за ПДн в сфере ПДн (упоминаются в ЕБС, письме 42-Т и приложение Б к ГОСТ Р 57580.1-2017)? Сроки, порядок, глубина контроля. Регламентов же пока нет.
Ответ ЦБ РФ: Все просто. ЦБ РФ осуществляет свои полномочия в соответствии с существующими НПА, формирует также, как и все график контрольных мероприятий, указывает тематику, включает соответствующих сотрудников, выходят на место, принимают решение о соответствии/несоответствии, принимают решение о воздействии в случае нарушений.
·         Вопрос у ЦБ РФ: можно ли признать платежную систему, содержащую ПДн не ИСПДн.
Ответ ЦБ РФ: требования к платежным системам жёстче, чем к ИСПДн. Так делать нелогично.
Роскомнадзор: мы корректность перечней ИСПДн не проверяем.   
·         Вопросы к ФСТЭК России и ФСБ России: закон 152-фз требует определить перечень актуальных угроз. Почему ФСТЭК и ФСБ требуют модель угроз или предположения о совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак? 
Ответ ФСТЭК России и ФСБ России: для выполнения требований 152-ФЗ достаточно только перечня угроз (без всего). Но когда вы будете отправлять нам на согласование, то вам придется написать пояснительную записку, информации в которой будет достаточно для согласования – почему именно эти угрозы. Например, так сделал Минюст.
·         Вопросы к ФСТЭК России: в приказе 235 ФСТЭК по КИИ явно указал что можно проводить оценку СЗИ, в иной форме, отличной от сертификации. Значил ли это что и для ПДн можно использовать такие же методы.  
Ответ ФСТЭК России: также можно использовать другие формы оценки соответствия СЗИ.
ФСБ России: если СКЗИ используются для защиты персональных данных, то это могут быть только сертифицированные СКЗИ.
·         Вопросы к ФСБ России: по методическим рекомендациям по МУ от 2015 года. Обязательный ли это документ? Можно ли совмещать МУ по ФСТЭК и ФСБ?   
Ответ ФСБ России: Это же рекомендации - поэтому не обязательный. Но существенно упрощает процедуру согласования.            152-ФЗ в обязанностях оператора упоминает один документ, поэтому считают что МУ по ФСТЭК и ФСБ может быть совмещен. 
·         Вопрос к ФСБ России: недавно ФСТЭК России обновили Положение по сертификации СЗИ, в соответствии с которым применение сертифицированных СЗИ существенно упростилось – пользователям теперь не нужно отслеживать сроки действия сертификатов, а в случае наличия уязвимостей можно экстренно устанавливать патчи. Бывает, что в организациях одновременно используются СЗИ сертифицированные в системе ФСТЭК и ФСБ. Планируется ли внесение аналогичных изменений положение о сертификации СЗИ ФСБ России?
Ответ ФСБ России: Как только мы решим поменять НПА – выложим законопроект на согласование, и вы сразу об этом узнаете. Пока его нет.


Для желающих самим послушать обсуждение на круглом столе я сделал аудиозапись – она доступна по ссылке (прошу прощения за шумы, не профизапись)

Напоследок поделюсь общим впечатление о конференции ЗПДн:
·         Кроме круглого стола, обычным специалистам по ИБ, руководителям отделов ИБ, консультантам и интеграторам нечего делать на этом форуме
·         Конференция может быть полезна тем, кому по каким-то причинам важно знать куда может двинуться регулирование РФ в области защиты данных (инвесторы?), для участников групп по совершенствованию законодательства (те, кто пишет законопроекты или рецензии на них) и представителей СМИ, которым нужно раз в год написать статью про ПДн и потом забыть об этом ещё на год
·         Частично создалось впечатление, что все это делается в том числе для европейских коллег, чтобы показать, что мы "адекватная" страна, а участники конференции статисты в этой постановке
·         Слишком короткие 10ти минутные доклады – тему просто не успевают раскрыть
·         Много докладов иностранных коллег не применимых для ИБшника, регуляторы были, но возможность пообщаться с ними отсутствовала.
·         Моя оценка 3 из 5 в плане полезности (единичные доклады, секция А. Волкова и Круглый стол с Регуляторами)
·         Моя оценка 1 из 5 по удобству общения с коллегами и питанию (а это платное для участников мероприятие)
В общем не рекомендую - для общения сходите лучше на какое-то нормально организованное мероприятие (soc, phd, bis, уральский форумы или подобные) а для получения информации.  А за знаниями - в учебный центр.
Может быть конференцию ЗПДн надо транслировать в онлайне. Так хотя бы не жалко будет потраченного на проезд времени и денег.
PS: Также можете почитать отчет Михаила Емельянникова


вторник, 13 ноября 2018 г.

КИИ. Блогеры. ФСТЭК


На прошлой неделе состоялась встреча блогеров (С. Борисов, А. Комаров, В. Комаров, А. Кузнецов, А. Лукацкий, П. Луцик), регулярно пишущих по теме КИИ с руководством и специалистами ФСТЭК России ответственными за КИИ. Коллеги (под давлением общественности) поспешили скорее опубликовать свои статьи чтобы донести до Вас добытую информацию.  Я же в этой заметке хочу поделиться некоторыми общими мыслями и впечатлением, а по конкретике пройдусь отдельными статьями. 

Про блогеров. В комментариях под статьями коллег, есть комментарии от читателей типа “почему вообще позвали этих блогеров?”, “да они же теоретики”, “зачем нам вообще ваше мнение”, “да зачем нам вообще мнение ФСТЭК, они и прав разъяснять ФЗ не имеют”. Уж так сложилось что в области КИИ уже действует большое количество НПА (уже 17, а будет больше). Ответственные за ИБ в своих организациях, в силу своего опыта и квалификации пытаются разобраться как им выполнять эти НПА – в чем-то у них возникают вопросы и сложности, в чем-то хотят узнать, как делают коллеги, в чем-то хотят не делать самим, а взять готовое и в чем-то хотят узнать, мнение регулятора.
Блогер – это тот, который добывает и доносит до читателей нужную им информацию. Как добывает информацию? Проводит собственный анализ, отбирает возможное для публикации из практики своей компании, посещает мероприятия с интересными ИБ докладами и круглыми столами, смотрит лучшие вебинары ИБ, обменивается информацией с ИБ специалистами, задает вопросы регулятору.  Но главное, что блогер публикует эту информацию.
Вы можете быть большим экспертом, вы можете знать все про КИИ, СЗИ и киберугрозы. Может быть у вас уже проведено категорирование и создана эффективная система защиты ЗОКИИ. Но какая польза от этого другим ИБ специалистам, если вы не поделитесь подробностями и держите это в себе?
Приглашенные на встречу блогеры регулярно писали на тему КИИ. Иногда даже пересказывали позицию ФСТЭК. Но не всегда правильно. Одна из целей встречи дать правильную позицию. Чтобы если уж взялись доносить позицию ФСТЭК, то доносили правильно.  

Про ФСТЭК. Исходя из озвученной на встрече позиции ФСТЭК по ключевым вопросам, а также по их планах корректировки ПП 127 и своих приказов создалось впечатление что ФСТЭК хочет, чтобы у субъектов КИИ осталось как можно меньше вариантов для сомнений, чтобы категорирования прошло как можно быстрее, владельцы значимых объектов уже приступили к их защите, и чтобы сам ФСТЭК мог эффективно исполнять свои обязанности и реализовывать свои права.
Поэтому по некоторым пунктам позиция ФСТЭК может показаться в чем-то несправедливой отдельным операторам, но именно такая позиция позволит большинству субъектов как можно быстрее и проще выполнить возложенные на них обязанности.
Аналогичное мнение я слышал и от ИБ блогеров, с которыми удалось пообщаться: надо меньше рассуждать, а просто взять и начать делать то, что требуется НПА. Будете подавать сведения в ФСТЭК, заодно и получите отзыв, правильно или нет.

Про вопросы КИИ. Опыт встречи показал, что ФСТЭК готова обсуждать в таком формате, только общие вопросы, касающиеся всех субъектов КИИ в целом. Частные случаи, касающиеся выполнения требований в отдельных организациях, ФСТЭК обсуждать с нами не будет (а таких было много среди 150 подготовленных заранее вопросов к ФСТЭК)
Но будет обсуждать эти вопросы с вами – субъектами КИИ, а также с лицензиатами, проводящими работы по контракту. Поэтому не откладывая проводите работы по категорированию, не стесняйтесь звонить и писать в ФСТЭК. Если сочтете возможным, делитесь полученной информацией. Не знаете как – передайте одному из упомянутых блогеров, помогут опубликовать.    

PS: Рекомендую ознакомится с подготовленными по итогам встречи со ФСТЭК публикациями в блогах у Алексея Комарова, Александра Кузнецова, Павла Луцика, Алексея Лукацкого.
Я планирую сделать несколько статей, которые будут доступны по тегу КИИ. Также стоит ожидать полезной информации в блоге Валерия Комарова.  


пятница, 19 октября 2018 г.

КИИ. Подключение к ГосСОПКА


В последнее время сталкиваюсь с большим количеством вопросов типа “у нас обычная организация, нет SOC-а, как нам технически подключится к ГосСОПКА?”. Так как раньше возможности такого подключения были описаны только в ДСП-шных документах, которые мог получить только лицензиат, то приходилось отправлять их либо в коммерческий центр ГосСОПКА, либо за получением лицензии.
Но наконец, по материалам одной из недавних конференций информация появилась и в публичных источниках. Ей и спешу свами поделиться. Озвучено было 3 варианта подключения к технической инфратструктуре ГосСОПКА:
1.       Купить новое клиентское ПО VipNet Client КС3. Подключить его в сеть НКЦКИ. Цена вопроса – до 10 тыс. рублей

2.       Купить новый шлюз VipNet Coordinator или HW. Подключить его в сеть НКЦКИ. Цена вопроса – 60-200 тыс. рублей в зависимости от шлюза

3.       Связать уже имеющуюся у вас сеть VipNet с сетью НКЦКИ с помощью межсетевого. Без доп. затрат  

Как видно из выдержки презентации, подключившись к технической инфраструктуре ГосСОПКА, мы сможем работать в личном кабинете по адресу portal.cert.local и вносить данные через web. Также вероятно будет возможность импортировать инцидент из файла. И ещё один способ взаимодействия: связать систему учета инцидентов организации и систему учета инцидентов НКЦКИ через API.
Кроме того, в приказах ФСБ России №367 и 368 озвучивается возможность, при отсутствии технического подключения к НКЦКИ, передавать информацию в ГосСОПКА посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на сайте http://cert.gov.ru. Сейчас там указаны: телефон +7 (916) 901-07-42 и почта gov-cert@gov-cert.ru
Кроме того есть web-форма для сообщения об инциденте http://cert.gov.ru/abuse/index.html Но состав полей этой web формы не совпадает с составом информации, которую нужно предоставлять в ГосСОПКА в соответствии с приказом ФСБ №.

Собрал все возможные варианты (без участия сторонних SOC) передачи сведений в ГосСОПКА на одной картинке:


PS: под вопросом пока остается минимальный или рекомендованный набор данных об инциденте или атаке, которые достаточно передавать в НКЦКИ, а также форматы файлов. Надеюсь по нему также будут публичные разъяснения. 


пятница, 12 октября 2018 г.

КИИ. Обязательные документы


При планировании мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры важно понимать какие процессы обеспечения безопасности необходимо создать/изменить, а также в каких документах они должны быть определены и описаны.
Я провел полный анализ действующих НПА в области КИИ на предмет требований в которых какие-либо документы упоминаются в явном виде, либо имеются требования к мерам необходимость документирования которых очевидна и неоспорима.   
Для владельцев незначимых объектов КИИ получился примерно следующий перечень


Для владельцев значимых объектов КИИ перечень существенно больше
В хорошем качестве можно скачать PDF 

Получилось 18 политик, 8 порядков, 4 приказа, 3 журнала, 2 положения. Но это как минимум.


Есть ещё ряд процессов обеспечения ИБ, которые требуется выполнять, но требований по документированию которых не приводится – тут документы могут разрабатываться на усмотрение субъекта КИИ. Также для многих процессов, может быть недостаточно политики и порядка – могут понадобится дополнительные инструкции или документы, возникающие в результате процесса.
Пока получается что в области КИИ требования к организационным мерам и документированию более сильные чем в других сферах.    

Но конечно возможна и оптимизация. Можно объединять документы в более крупные, делать документы сразу по нескольким темам, но это вопрос уже других статей.  

Думаю, что далее буду более подробно рассматривать отдельные процессы и документацию по ним. Вас также прошу высказываться по поводу документов, может быть есть альтернативное виденье или дополнение к тому что приведено в статье.


понедельник, 3 сентября 2018 г.

ПДн. Обезличивать не надо защищать



До недавнего времени, интерес к обезличиванию ПДн был не большой, как со стороны законодателей, так и со стороны операторов.


НПА РФ касающиеся обезличивания ПДн:
·         Федеральный закон 152-ФЗ “О персональных данных”
требования по обезличиванию в редких случаях
·         Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных"
описаны возможные методы, но требования фактически отсутствуют
·         КОАП РФ
есть штраф за нарушение требований и методов обезличивания, но мизерный и только для должностных лиц гос. органов

Появилось несколько свежих отраслевых НПА, устанавливающих требования обезличивать ПДн:
·         Приказ Министерства здравоохранения РФ от 14 июня 2018 г. N 341н "Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования"
касается всех Мед. организаций, но обезличивание происходит автоматически через специальный модуль ЕГИСЗ
·         Поправки федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд”
при закупке лекарственных препаратов требование публиковать обезличенные решения врачебных комиссий
·         Приказ Росстата от 17.04.2018 N 179 "Об утверждении порядка сбора сведений о населении в электронной форме, определяющего требования к программному обеспечению, техническим средствам, включая носители информации, каналам связи, средствам защиты и форматам представления данных в электронной форме"
требования обезличивать данные переписи населения

Минкомсвязи выдвинул 2 законопроекта:
1.       Изменения в 152-ФЗ: 
a.       добавить обязанность проводить обезличивание в случаях, когда это требуется законодательством РФ (ну это и так вроде очевидно)
b.       всем операторам добавили обязанность разрабатывать правила работы с обезличенными данными, в случае применения обезличивания
раньше такие правила требовались только для гос. органов
2.       Изменения в КОАП РФ
Теперь штрафы для всех операторов и распространяются на физ лиц, должностных лиц и юр. лиц. До 30 тыс.
Заключение:
Начало появляться больше НПА, обязывающие операторов проводить обезличивание ПДн в определенных случаях. Сейчас эти случаи:
·         обезличивать или уничтожать по достижению целей обработки ПДн
·         обработка ПДн в статистических или исследовательских целях
·         обработка ПДн при оказании мед. услуг
·         публикация решений врачебный комиссий при проведении закупок лекарственных препаратов
·         при переписи населения
Скорее всего число таких случаев, где обезличивание требуется в явном виде, будет только увеличиваться. Поэтому очевидно, что за невыполнение требований должно быть предусмотрено хоть какое-то наказание. Так кто ожидаемы поправки в КоАП
Для всех случаев обработки ПДн, операторам нужно будет определять, будет ли в них применяться обезличивание или нет. Если будет то определить способ обезличивания, реализовать автоматизированные механизмы или назначить ответственных лиц, при обезличивании в ручную и действительно внедрить выбранные способы на практике.  
Вероятно, во многих массовых ИС/ГИС (также как в ЕГИСЗ) должны появляться встроенные возможности по обезличиванию данных.

PS: Также рекомендую обзор законопроектов по обезличиванию ПДн от Михаила Емельянникова – рассмотрел проблему с другой стороны

PPS:Нажмите чтобы посмотреть цитаты из НПА и планируемые изменения

пятница, 24 августа 2018 г.

ИБ. Новое положение ФСТЭК о системе сертификации СЗИ


Коллеги, информирую. С 1 августа 2018 года вступило в силу новое Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России N 55 от 3 апреля 2018 г. 
В основном оно рассчитано на разработчиков СЗИ. Но есть некоторые новые ньюансы, интересные пользователям и лицензиатам:

·         теперь официально разрешено применять СЗИ после окончания срока действия сертификата ФСТЭК (сертификат был, но срок закончился), до того момента пока производитель оказывает техническую поддержку СЗИ или ФСТЭК явно не отзовет сертификат

·         в соответствии с этим ФСТЭК уже убрали на своем сайте из реестра сертификатов СЗИ - сроки действия. Теперь важен только сам факт выдачи сертификата (наличие записи в реестре)
Но ФСТЭК поспешили. Кроме эксплуатации, нам нужно ещё покупать или планировать покупку СЗИ. А продать сертифицированное СЗИ с истекшим сроком сертификата производитель не может.
В то же время путь от формирования потребности может занять время – в среднем у крупных закзачиков и гос. органов это занимает год. И тут раньше мы планировали наперед: смотрели когда заканчивается срок действия сертификата и получали от производителей официальные/гарантийные письма о продлении сертификата. Теперь же такого инструмента для планирования у нас нет. В самый неподходящий момент закупки мы можем столкнуться с тем, что СЗИ “неожиданно” пропадет из реестра ФСТЭК

·         более четко прописана маркировка СЗИ. ФСТЭК выдает производителю Знаки соответствия с уникальными номерами. Производитель маркирует знаком соответствия ими корпус ТС (если аппаратное СЗИ) или формуляр. в формуляре указывается уникальный номер.        То есть, если у пользователя нет знака соответствия или не указан его уникальный номер - то у него не сертифицированное СЗИ
Надеюсь теперь будет больший порядок в поставках, сертифицированных СЗИ. Потому что ранее с этим была постоянная головная боль – производители не маркировали СЗИ знаками соответствия или не указывали уникальные номера для них

·         но теперь официально озвучен вариант распространения, сертифицированного СЗИ по сети связи (скачивание), в котором маркировка производится "с применением ЭП или любым способом, подтверждающим подлинность средств защиты информации". Пока непонятно как это может быть. Наверное, в рамках сертификации каждый производитель будет согласовывать со ФСТЭК, как конкретно он будет распространять через Интернет.
Пока непонятно как это будет работать. На проверке регулятора пользователь должен иметь возможность доказать, что у него именно сертифицированное СЗИ. Не понятно, как это сделать при скачанном из Интернета дистрибутивом

·         официально прописано что это обязанность заявителя на сертификацию/разработчика - устранение багов, подготовка обновлений ПО, предоставление пользователю обновлений ПО, а также изменений эксплуатационной документации. По сути пользователям разрешено устанавливать обновления, устраняющие уязвимость, до окончания инспекционного контроля со стороны ФСТЭК

PS: Послабления никак не затрагивают тех ситуаций, когда производитель обещал получить сертификат, но не получил его. То есть сертификата вообще нет. Например, отсутствие сертификата соответствия новым РД по межсетевым экранам. 

С этим на самом деле большая проблема - большая часть производителей МЭ не получила сертификаты на соответствие их новым РД ФСТЭК. Например, из анализа Алексея Комарова видно что сейчас есть только 1 ! межсетевой экран уровня хоста. Тут просто монополия.   Также проблема с выбором СЗИ сертифицированных по новым РД, если нам нужен МЭ + СОВ. Выбор очень мал.

А если учесть, что в соответствии с новым Положением, сложность получения производителями сертификатов только возрастет (будет проверятся процесс исправлений и обновлений), то как бы количество сертифицированных СЗИ ещё не уменьшилось.

PPS: ещё одна проблема – то что от ФСБ России нет подобного положения и никаких подобных послаблений.  Если так совпало, что СЗИ у нас имеет сертификат ФСТЭК и сертификат ФСБ. То при выходе обновлений, устраняющих уязвимости - мы не сможем их установить, пока производитель не сертифицирует обновление в ФСБ. Та же проблема с истечением срока сертификата ФСБ – тут нам никто не давал разрешения использовать (на мои письма ФСБ отвечали - нельзя)


среда, 8 августа 2018 г.

ИБ. Облачные хранилища файлов и документов


Все большее количество организаций используют облачные хранилища для обмена большими документами, файлами или для совместной работы над документом.  Поднимать свой FTP сервере или медиа сервис уже не модно.  Даже в корпоративной среде часто используются google disk, yandex disk, microsoft onedrive. А в малом бизнесе и небольших государственных учреждениях эти облачные сервисы используются повсеместно.

В облачных сервисах могут быть разные настройки доступности документа, которым мы хотим поделиться. Но наибольшую популярность получил так способ поделиться файлом как “доступ по ссылке”.  В таком случае, чтобы поделиться с коллегами документом, достаточно передать им уникальную ссылку на документ. При этом доступ к файлу ограничен и предоставляется только тем, у кого есть специальная ссылка.

Но данный способ поделиться документом влечет за собой серьезные угрозы безопасности. После того как вы отправили ссылку на файл коллегам или партнерам, далее вы теряете контроль над информацией. Эти лица, могут также пересылать ссылку своим друзьям, знакомым, а также публиковать её в соц. сетях, в чатах, на форумах; а могут скопировать файл себе в хранилище и делиться ссылками уже на свою копию файла. Ссылка, попав в общедоступные источники будет проиндексирована поисковиками и информация фактически становится общедоступной.  Также из-за сбоев в работе некоторых сервисов, связанных с поисковыми системами, ссылка может быть проиндексирована, например, из вашей переписки.

Давайте посмотрим на несколько примеров которые выдают нам поисковики

Сравните документы, которые доступны на Google Docs через поисковые системы Yandex и Google: разница в 2000 документов говорит о том, что недавняя шумиха про утечку документов через yandex была не спроста.




Или по другим ключевым словам


Например, можно найти паспортные данные клиентов учебного центра




или планы и архив доставок курьерской службы с фио, телефонами, суммами и заказами


списки детей, зачисленных в детские сады


списки молодых семей, запросивших льготу, с членами семей и информацией о недвижимости


списки учеников, их родителей, с адресами и телефонами

 Сомневаюсь, что в указанных случаях есть законные основания для публикации персональных данных (фактически оператор сделал их общедоступными – доступ по ссылке + публикация или утечка ссылки).


Также повсеместно осуществляется сбор ПДн с использованием google формы, расположенные не в РФ:




ПДн собранные с помощью форм консолидируются в таблицы, к которым также открывают доступ по ссылке для того чтобы работать совместно с коллегами.



Как следствие, нарушение законодательства РФ, утечки ценной информации, недовольство клиентов и т.п.

Что делать?
·         Внимательно оценивайте информацию и документы, которыми планируете поделиться через облачный сервис

·         Собирать ПДн через google формы не рекомендую в любом случае – это нарушает требования законодательства о хранении БД ПДн на территории РФ
·         Если нужно поделиться с коллегами ценной информацией – делайте это не через доступ по ссылке, а открывайте доступ пользователям поименно (в яндекс диске персональный доступ можно давать только для Папок)


·         Там, где достаточно права на просмотр, ограничивайте возможность скачивания и копирования на другие облачные диски

·         Для владельцев G Suite – запретите возможность делиться файлами с несотрудниками организации или разрешите делится только с пользователями из белого списка доменов (партнеры, постоянные контрагенты).
На главной странице консоли администратора выберите Приложения -> G Suite -> Google Диск и Документы -> Настройки доступа

·         Если у вас крупная компания или гос. орган: сделайте для пользователей инструкцию, какие типы документов можно выкладывать в облачные хранилища и как лучше открывать доступ к таким файлам. Назначьте ответственных за публикацию файлов в интернете (в общий доступ), которые понимают ценность информации и возможность её опубликования. Давайте доступ на публикацию материалов только для этих сотрудников
·         Проведите ревизию ранее опубликованных файлов. В персональном аккаунте, обратите внимание на значок рабочей группы, сигнализирующий что кому-то был предоставлен доступ к файлу (по ссылке или персонально)

·         В корпоративных аккаунтах, от учетки администратора G Suite проверьте файлы переданные доступные не сотрудникам
·         Если обнаружите, что ранее с кем-то делились ценной информацией / персональными данными “по ссылке”, проверьте не доступны ли аналогичные файлы с вашими данными через поисковые системы  



понедельник, 2 июля 2018 г.

КИИ. Категорирование объектов, часть 3


Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов)

3. Определение объектов КИИ
Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты).
В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его большая адекватность и актуальность.
(UPDATE) При формировании перечня АСУ, обращайте внимание на определение АСУ, данное в 187-ФЗ. Возможно придется вычеркнуть некоторые АСУ не подходящие под определение. Например, если в составе его нет программных средств, или если это АСУ управляется не технологическим или производственным оборудованием.    
Далее к перечню объектов КИИ необходимо добавить информационно-телекоммуникационные сети. Тут нет особого смысла дробить на маленькие кусочки. Указываем одним пунктом – корпоративная сеть организации. Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей.

3.а. Получившийся, предварительный, но ещё не утвержденный, перечень объектов КИИ отправляем вышестоящему гос. органу (Минздрав субъекта РФ). По-хорошему, отраслевые регуляторы должны публиковать порядок согласования с ними перечней, но пока такого не замечено. Поэтому просто пишем письмо  
“В соответствии с требованиями пункта 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных Постановлением Правительства РФ от 8 февраля 2018 г. № 127 направляем Вам на согласование предварительный перечень объектов критической информационной инфраструктуры нашей организации.”
и прикладываем перечень объектов КИИ.

3.б. Минздрав субъекта РФ, посмотрит не забыли ли вы указать какую-то систему, которую указали коллеги до вас. По-хорошему, они могли бы предложить убрать системы, которые точно не будут критическими. Но в ближайшее время этого делать никто не будет, так как информации недостаточно. И уже озвучиваются вопросы типа “вдруг мы вычеркнем систему, а потом произойдет инцидент и окажется что не надо было её вычеркивать”.

4. Утверждение перечня объектов КИИ
После согласования перечня с отраслевым регулятором, готовим формальный документ с перечнем объектов и отдаем его руководителю на утверждение. Одновременно с ним нужно подготовить письмо на начальника 2 управления ФСТЭК России (копию на руководителя Управления ФСТЭК России по вашему федеральному округу), приложением к которому необходимо приложить перечень объектов КИИ.
И хотя форма перечня объектов КИИ формально не утверждена, но на семинарах, в письмах и заседаниях ФСТЭК России приводит различные “рекомендованные форматы”
например, такой



или такой


Если обобщать, то в целом получается такая форма перечня (примеры объектов КИИ)
Наименование организации
Сфера деятельности
Наименование объекта КИИ
Планируемый срок категорирования
Адрес и контакты организации
ККБ №0
Здравоохранение
ИС:
"Электронная очередь"
"СОЦ-Лаборатория"
"Льготные рецепты"
"М-Аптека"
МИС "Самсон"
"Медкомтех"
"03"
"Экспресс-здоровье"
"Скрининг новорожденных"
"Высокозатратные нозологии"
"Регистр больных сахарным диабетом"
АРМ ПЦ ЛЛО
СК ИПРА
АСУ:
Автоматизированная система оперативного управления диспетчерской службой скорой медицинской помощи
АСУ пожаротушением
АСУ рентген аппаратами
АСУ томографом
АСУ лучевой терапия
ИТС:
Корпоративная сеть ККБ №0
1 января 2019 г.
Руководитель – Иванов И.И.

(861)2790001

г. Краснодар, ул. Красная 1.

Несмотря, на то, что в ПП 127 не установлены сроки на утверждение перечня объектов КИИ, есть решение Коллегии ФСТЭК России от 24.04.2018 №59, в котором озвучены сроки, которые в свою очередь доносятся на заседаниях по защите информации во всех субъектах РФ.

Пример протокола такого заседания можно посмотреть тут.
Срок на утверждение перечня объектов КИИ – до 1 августа 2018 г.
Срок на проведение категорирования объектов КИИ – до 1 января 2019 г.