среда, 25 апреля 2018 г.

ПДн. В РФ введут штрафы за утечку персональных данных


Как вы, наверное, знаете в РФ фактически нет наказания за утечку персональных данных (если не считать 13.14 со штафом в 5 тыс. руб.). В то же время в Евросоюзе за утечки персональных данных предусмотрены GDPR штрафы до 20 млн. евро или 4% от оборота компании.

В Минкомсвязи решили исправить этот недочет и подготовили законопроект предусматривающий административное наказание за 2 новых состава правонарушений: 
·         8) за хранение баз данных с ПДн граждан РФ за границами РФ
·         9) за несоблюдение требований по конфиденциальности ПДн, за незаконное раскрытие или распространение ПДн – по сути, утечки персональных данных как раз попадают под этот состав
Для сравнения привожу таблицу с действующими и новыми составами правонарушений в области ПДн.



Есть правда одна проблема - штраф за утечку ПДн должен быть на порядок выше. Иначе, это не стоит внимания бизнеса.  
А есть и ещё проблема – Роскомнадзор и суды похоже совсем не хотят штрафовать нарушителей в области ПДн. По результатам анализа, который я делал к недавнему Коду ИБ, подавляющее большинство выявленных нарушений заканчивается только предупреждением.






четверг, 12 апреля 2018 г.

ИБ. Проблемы применения ЭП в организации


В РФ создается все больше информационных систем, которые требуют от пользователей – сотрудников коммерческих и гос. организаций наличия электронной подписи. Появляется всё больше возможностей для взаимодействия граждан, организаций и государства в электронной форме.

В той же отрасли здравоохранения чуть ли не всему медицинскому персоналу нужно обзавестись ЭП: электронные больничные (ПП РФ  от 16.12.2017 N 1567), рецепты, мед. справки и заключения, согласие на мед. вмешательство, документирование телемедицинских услуг в электронном виде (N 242-ФЗ от 29.07.2017), маркировка обращения лекарственных средств (№ 425-ФЗ от 28 декабря 2017 г.), проект Минздрава “Электронное здравоохранение” до 2025 г. – не менее 99% рабочих мест мед. работников оборудовано ЭП.

При этом вопросы применения, эксплуатации и обеспечения безопасности ЭП регламентируются либо документами 17-ти летней давности либо не регламентируются вовсе.

Например, не определено, должны ли ЭП быть выданы на физ. лицо или на юр. лицо? Владельцы ГИС-ов решают этот вопрос на свое усмотрение. Ответ ФСС: разрешают личные ЭП.


Организации видя существенную разницу в стоимости, заказывают ЭП на физ. лица. А то и заставляют сотрудников самостоятельно приобретать и получать ЭП. 


В итоге получается в организации большой кусок серых ИТ: персональные токены с СКЗИ, ключи ЭП которые не подконтрольны службе ИБ. Какой-то bring your own crypto.

Как выполнить обязательные требования ФСБ для таких СКЗИ: на каком основании принимать их на баланс? как учитывать такие ЭП и СКЗИ? как обеспечить их безопасное хранение? как заставить пользователя сдавать их на хранение?   С другой стороны, пользователи – владельцы персональных ЭП говорят: с какой стати мы будем отдавать вам наши личные токены c ЭП?

А кроме обязательных требований есть ведь ещё и актуальные угрозы:
·         ЭП сотрудника может быть несанкционированное получена или пере выпущена злоумышленником;
·         потерян или украден носитель с ключами ЭП;
·         вредоносным ПО ключи могут быть извлечены с токена;
·         если пользователь один раз и навсегда подключил свой токен к компьютеру и никогда не извлекает его – существенно повышаются шансы на выполнение каких-то несанкционированных операций с ЭП вредоносным ПО;
·         фишинг и социальная инженерия могут заставить пользователя ввести пароль и подписать какой-то ЭД.
И кстати с развитием электронного документооборота в медицине будет развиваться и рынок услуг кибер мошенников, которые могут наносить значительный ущерб: например, ущерб от поддельного больничного на месяц, ЗП = 30-500 тыс. руб. от одного случая, изменение мед. заключений в системе - может причинить ущерб здоровью пациента, поддельные рецепты - получение наркотических лекарственных средств,  подделка льготных рецептов = бесплатное получение лекарств = ущерб сравним с общим рынком лекарственных средств, а это 50 млрд руб. и  тп... 

Служба ИБ должна разрабатывать какие-то корпоративные правила безопасного использования ЭП и повышать осведомленность пользователей. Но как это сделать в случае личных ключей?  

Примерно такой вопрос я задавал в ФСБ России и получил следующий ответ:
Если кратко – то применение личных ЭП в рабочих системах Организации – это вне закона.

PS: ещё остаются нерешенными такие проблемные вопросы, как: текущая практика УЦ выпускать отдельные сертификаты ЭП под каждую отдельную ИС/ГИС; порядок использования ЭП в случае если врач работает сразу в нескольких Организациях - если записать несколько ключей на один токен, то приходится разрываться в его учете. Если под каждую организацию свой отдельный токен – то работникам придется на шее носить ожерелье из токенов.