пятница, 24 августа 2018 г.

ИБ. Новое положение ФСТЭК о системе сертификации СЗИ


Коллеги, информирую. С 1 августа 2018 года вступило в силу новое Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России N 55 от 3 апреля 2018 г. 
В основном оно рассчитано на разработчиков СЗИ. Но есть некоторые новые ньюансы, интересные пользователям и лицензиатам:

·         теперь официально разрешено применять СЗИ после окончания срока действия сертификата ФСТЭК (сертификат был, но срок закончился), до того момента пока производитель оказывает техническую поддержку СЗИ или ФСТЭК явно не отзовет сертификат

·         в соответствии с этим ФСТЭК уже убрали на своем сайте из реестра сертификатов СЗИ - сроки действия. Теперь важен только сам факт выдачи сертификата (наличие записи в реестре)
Но ФСТЭК поспешили. Кроме эксплуатации, нам нужно ещё покупать или планировать покупку СЗИ. А продать сертифицированное СЗИ с истекшим сроком сертификата производитель не может.
В то же время путь от формирования потребности может занять время – в среднем у крупных закзачиков и гос. органов это занимает год. И тут раньше мы планировали наперед: смотрели когда заканчивается срок действия сертификата и получали от производителей официальные/гарантийные письма о продлении сертификата. Теперь же такого инструмента для планирования у нас нет. В самый неподходящий момент закупки мы можем столкнуться с тем, что СЗИ “неожиданно” пропадет из реестра ФСТЭК

·         более четко прописана маркировка СЗИ. ФСТЭК выдает производителю Знаки соответствия с уникальными номерами. Производитель маркирует знаком соответствия ими корпус ТС (если аппаратное СЗИ) или формуляр. в формуляре указывается уникальный номер.        То есть, если у пользователя нет знака соответствия или не указан его уникальный номер - то у него не сертифицированное СЗИ
Надеюсь теперь будет больший порядок в поставках, сертифицированных СЗИ. Потому что ранее с этим была постоянная головная боль – производители не маркировали СЗИ знаками соответствия или не указывали уникальные номера для них

·         но теперь официально озвучен вариант распространения, сертифицированного СЗИ по сети связи (скачивание), в котором маркировка производится "с применением ЭП или любым способом, подтверждающим подлинность средств защиты информации". Пока непонятно как это может быть. Наверное, в рамках сертификации каждый производитель будет согласовывать со ФСТЭК, как конкретно он будет распространять через Интернет.
Пока непонятно как это будет работать. На проверке регулятора пользователь должен иметь возможность доказать, что у него именно сертифицированное СЗИ. Не понятно, как это сделать при скачанном из Интернета дистрибутивом

·         официально прописано что это обязанность заявителя на сертификацию/разработчика - устранение багов, подготовка обновлений ПО, предоставление пользователю обновлений ПО, а также изменений эксплуатационной документации. По сути пользователям разрешено устанавливать обновления, устраняющие уязвимость, до окончания инспекционного контроля со стороны ФСТЭК

PS: Послабления никак не затрагивают тех ситуаций, когда производитель обещал получить сертификат, но не получил его. То есть сертификата вообще нет. Например, отсутствие сертификата соответствия новым РД по межсетевым экранам. 

С этим на самом деле большая проблема - большая часть производителей МЭ не получила сертификаты на соответствие их новым РД ФСТЭК. Например, из анализа Алексея Комарова видно что сейчас есть только 1 ! межсетевой экран уровня хоста. Тут просто монополия.   Также проблема с выбором СЗИ сертифицированных по новым РД, если нам нужен МЭ + СОВ. Выбор очень мал.

А если учесть, что в соответствии с новым Положением, сложность получения производителями сертификатов только возрастет (будет проверятся процесс исправлений и обновлений), то как бы количество сертифицированных СЗИ ещё не уменьшилось.

PPS: ещё одна проблема – то что от ФСБ России нет подобного положения и никаких подобных послаблений.  Если так совпало, что СЗИ у нас имеет сертификат ФСТЭК и сертификат ФСБ. То при выходе обновлений, устраняющих уязвимости - мы не сможем их установить, пока производитель не сертифицирует обновление в ФСБ. Та же проблема с истечением срока сертификата ФСБ – тут нам никто не давал разрешения использовать (на мои письма ФСБ отвечали - нельзя)


среда, 8 августа 2018 г.

ИБ. Облачные хранилища файлов и документов


Все большее количество организаций используют облачные хранилища для обмена большими документами, файлами или для совместной работы над документом.  Поднимать свой FTP сервере или медиа сервис уже не модно.  Даже в корпоративной среде часто используются google disk, yandex disk, microsoft onedrive. А в малом бизнесе и небольших государственных учреждениях эти облачные сервисы используются повсеместно.

В облачных сервисах могут быть разные настройки доступности документа, которым мы хотим поделиться. Но наибольшую популярность получил так способ поделиться файлом как “доступ по ссылке”.  В таком случае, чтобы поделиться с коллегами документом, достаточно передать им уникальную ссылку на документ. При этом доступ к файлу ограничен и предоставляется только тем, у кого есть специальная ссылка.

Но данный способ поделиться документом влечет за собой серьезные угрозы безопасности. После того как вы отправили ссылку на файл коллегам или партнерам, далее вы теряете контроль над информацией. Эти лица, могут также пересылать ссылку своим друзьям, знакомым, а также публиковать её в соц. сетях, в чатах, на форумах; а могут скопировать файл себе в хранилище и делиться ссылками уже на свою копию файла. Ссылка, попав в общедоступные источники будет проиндексирована поисковиками и информация фактически становится общедоступной.  Также из-за сбоев в работе некоторых сервисов, связанных с поисковыми системами, ссылка может быть проиндексирована, например, из вашей переписки.

Давайте посмотрим на несколько примеров которые выдают нам поисковики

Сравните документы, которые доступны на Google Docs через поисковые системы Yandex и Google: разница в 2000 документов говорит о том, что недавняя шумиха про утечку документов через yandex была не спроста.




Или по другим ключевым словам


Например, можно найти паспортные данные клиентов учебного центра




или планы и архив доставок курьерской службы с фио, телефонами, суммами и заказами


списки детей, зачисленных в детские сады


списки молодых семей, запросивших льготу, с членами семей и информацией о недвижимости


списки учеников, их родителей, с адресами и телефонами

 Сомневаюсь, что в указанных случаях есть законные основания для публикации персональных данных (фактически оператор сделал их общедоступными – доступ по ссылке + публикация или утечка ссылки).


Также повсеместно осуществляется сбор ПДн с использованием google формы, расположенные не в РФ:




ПДн собранные с помощью форм консолидируются в таблицы, к которым также открывают доступ по ссылке для того чтобы работать совместно с коллегами.



Как следствие, нарушение законодательства РФ, утечки ценной информации, недовольство клиентов и т.п.

Что делать?
·         Внимательно оценивайте информацию и документы, которыми планируете поделиться через облачный сервис

·         Собирать ПДн через google формы не рекомендую в любом случае – это нарушает требования законодательства о хранении БД ПДн на территории РФ
·         Если нужно поделиться с коллегами ценной информацией – делайте это не через доступ по ссылке, а открывайте доступ пользователям поименно (в яндекс диске персональный доступ можно давать только для Папок)


·         Там, где достаточно права на просмотр, ограничивайте возможность скачивания и копирования на другие облачные диски

·         Для владельцев G Suite – запретите возможность делиться файлами с несотрудниками организации или разрешите делится только с пользователями из белого списка доменов (партнеры, постоянные контрагенты).
На главной странице консоли администратора выберите Приложения -> G Suite -> Google Диск и Документы -> Настройки доступа

·         Если у вас крупная компания или гос. орган: сделайте для пользователей инструкцию, какие типы документов можно выкладывать в облачные хранилища и как лучше открывать доступ к таким файлам. Назначьте ответственных за публикацию файлов в интернете (в общий доступ), которые понимают ценность информации и возможность её опубликования. Давайте доступ на публикацию материалов только для этих сотрудников
·         Проведите ревизию ранее опубликованных файлов. В персональном аккаунте, обратите внимание на значок рабочей группы, сигнализирующий что кому-то был предоставлен доступ к файлу (по ссылке или персонально)

·         В корпоративных аккаунтах, от учетки администратора G Suite проверьте файлы переданные доступные не сотрудникам
·         Если обнаружите, что ранее с кем-то делились ценной информацией / персональными данными “по ссылке”, проверьте не доступны ли аналогичные файлы с вашими данными через поисковые системы