среда, 29 января 2020 г.

Публичный семинар Роскомнадзора по персональным данным и планы рабочей группы ЮФО


Вчера 28 января 2020 состоялся публичный семинар Роскомнадзора по итогам их работы за 2019 г. по теме персональных данных.
·        Выложена запись основной части семинара.  На самом деле там было мало нового. Примерно те же типовые нарушения, примерно те же причины обращений, немного меняется статистика. Но из интересного, например было про деятельность центра компетенций и рабочих групп Роскомнадзора в общем и ЦФО+СЗФО в частности

·        Больший интерес представляет секция вопросов и ответов от РКН. По многим темам позиция РКН меняется, в том числе и в следствии судебной практики. Рекомендую ознакомится, много интересных вопросов. Ответы, конечно, не всегда дают ту информацию, которая была нужна оператору – уворачиваться РКН умеет и многое остается на ответственность самого оператора.


Также 24 января 2020 года принял участие в заседании рабочей группы РКН по ЮФО (той самой которая разработает методические документы) – утверждали план нашей деятельности на год. Ниже привожу информацию о том какие результаты и когда может получить общественность благодаря рабочей группе по ЮФО:

Темы для методических документов выбирались на основании голосования запущенного на портале Роскомнадзора. Надеюсь совместно с УЦСБ внести посильный вклад в разработку методических документов.
Надеюсь, что все указанные планы будут выполнены в срок. Для операторов ПДн все актуально.


Почитать про другие ответы на острые вопросы по ПДн можно в моем блоге

Для того чтобы не пропустить новые обзоры и аналитику подпишитесь в вашем любимом канале
VK 


вторник, 21 января 2020 г.

Обзор документа NIST Privacy Framework


16 января NIST опубликовал итоговую версию документа 1.0 Privacy Framework. Указанный документ представляется как добровольный инструмент (лучшая практика) которая поможет вам выполнять законодательство в области защиты персональных данных.
Давайте посмотрим на самые интересные моменты данного документа, которые могут быть полезны при выполнении российского законодательства в области защиты ПДн либо европейского GDPR.
1.      Документ не является обязательным. Это скорее методический документ. В нем есть полезные вещи, которые можно использовать. Но одного этого документа недостаточно для того, чтобы взять и построить безопасные процессы обработки ПДн – нужно использовать ещё какие-то методики для анализа рисков, а потом придумывать, какие меры необходимо выбрать для нейтрализации конкретных рисков. Поэтому не корректно будет называть его готовым инструментом (tool). Но основой (framework) для дальнейшей работы он называется заслуженно.  

2.      Разъяснение актуальности проблемы и места Privacy
Значительная часть документа отведена на разъяснения:
·        Почему организациям необходимо заниматься приватностью данных (Privacy) / соблюдением прав субъектов ПДн (доверительные отношения с клиентом, comliance)
·        Про разницу между рисками кибербезопасности приватности

·        Про то, что в начале от инцидентов с ПДн наносится вред субъекту, но в итоге это превращается в ущерб для организаций

·        Про необходимость оценки рисков приватности (Privacy Risk Assessment) / оценка вреда – но тут без конкретики
·        Про связь и разницу между мерами защиты от компьютерных инцидентов и мерами защиты приватности – есть общие меры, но для защиты приватности понадобятся и дополнительные -P меры

·        Про то что в обеспечении приватности должны быть вовлечены работники организации всех уровней (высшее руководство, менеджеры, операционный уровень)

·        О том что в обработке одних данных может участвовать большое количество участников, и необходимо включать в договора требования или наоборот показывать как у вас в организации обеспечивается защита приватности – для того чтобы все общались на одном языке как раз и нужен NIST Privacy Framework и его профили.

3.      Каталог мер защиты приватности, разделенный на Функции (Functions), Категории (Categories), и Подкатегории (Subcategories) – это Framework Core

Отдельно отмечены меры идентичные мерам из Cybersecurity Framework и адаптированные из них
4.      Естественно, предполагается что организации будут применять не все меры, а те которые необходимо в следствии анализа рисков приватности, а также исходя из особенностей обработки данных. Для некого подмножества мер из Core придуман специальный термин - Профиль (Profile).
Предполагается что может быть текущий профиль (current profile) – набор мер, который организация выполняет сейчас и целевой профиль (target profile) – набор мер, который организация считает необходимым для обработки всех рисков.  Также framework предполагает, что организации не смогут одномоментно взять и внедрить все меры – на пути к целевому, ещё может быть целый ряд промежуточных профилей. 

Другие области применения профилей:
·        операторам облачных сервисов или аутсорсерам заказчики могут предъявлять требования в виде профилей
·        требования в виде профилей могут предъявляться разработчику системы или ПО
·        вышестоящая или головная организация может требовать от подконтрольных организаций соответствие определенному профилю
·        ассоциации и сообщества могут разрабатывать отраслевые профили приватности
Если проводить параллели с документами ФСТЭК, то меры из ПП1119 + 21 приказа – это аналог Core, а 4 уровня защищенности – это аналог 4х профилей защиты.

5.      Количество ресурсов, которые потрачены па реализацию одной и той же меры в разных Организациях может отличаться в разы, соответственно может отличаться и эффективность применения мер. Для работы с этим в NIST Privacy Framework придуманы 4 уровня реализации (Implementation Tiers): Partial, Risk Informed, Repeatable, Adaptive
Для каждого уровня реализации даны характеристики в 4 направлениях (Privacy Risk Management Process, Integrated Privacy Risk Management Program, Data Processing Ecosystem Relationships, Workforce).

Уровни реализации могут применяются как к отдельным мерам, так и ко всей организации в целом. Также можно оценивать текущий уровень и фиксировать целевой.
Все это похоже на уровни зрелости процессов ИБ (хотя NIST нигде не говорит про зрелость).
6.      Обеспечивать приватность предлагается по простой схеме “Ready, Set, Go
·        Ready – провести оценку рисков приватности (для РФ читай оценку возможного вреда), требования законодательства и вышестоящих организаций, определить границы приемлемых рисков.
·        Set – определить текущий профиль и целевой профиль. Разницу между ними оформить как план мероприятий.
·        Go – выполнить план и достигнуть целевого профиля Target profile

PS: всем неравнодушным предлагаю скачать и ознакомится с Privacy Framework самостоятельно. У рабочей группы там большой роадмап по новым документам.
PPS: почитать про другие лучшие практики ИБ можно в моем блоге

Планирую ещё несколько публикаций по NPF, для того чтобы не пропустить новые обзоры и аналитику подпишитесь в вашем любимом канале:
VK 

вторник, 14 января 2020 г.

Конец Windows 7 и Windows Server 2008 ?!



Сегодня 14 января 2020 года закончился срок технической поддержки на Windows 7 и Windows Server 2008.
Что это означает по мнению Microsoft?



Что это означает для российских ИБ:
·        ОС Windows 7 и 2008 уже нельзя применять в любом качестве на значимых объектах КИИ
·        Указанные ОС нельзя использовать в качестве мер защиты в Банках (а как правило они используются)
·        ОС Windows 7 и 2008 нельзя использовать в качестве сертифицированных средств защиты (даже если срок сертификат ФСТЭК ещё не истек, теперь должен быть прекращен)

Приказ ФСТЭК №239:
“31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.”

ГОСТ Р 57580.1-2017:
“РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования
ЖЦ.18 Обеспечение возможности сопровождения технических мер системы защиты информации АС в течение всего срока их использования”

Положение о системе сертификации средств защиты информации, приказ ФСТЭК России №55:
“83. Действие сертификата соответствия приостанавливается в случаях:
… прекращения технической поддержки сертифицированного средства защиты информации, отсутствие которой может привести к несоответствию средства защиты информации требованиям по безопасности информации, а также к невыполнению требований о защите информации при применении средства защиты информации;
89. Действие сертификата соответствия прекращается в случае:
… невозобновления заявителем в установленный срок технической поддержки средства защиты информации;
15. … Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.”


PS: По мой информации многие организации ещё заканчивают переход с Windows XP на другие ОС.  А Windows 7 и 2008 используются повсеместно. И нужны будут большие усилия чтобы экстренно заменить эти ОС. Посмотрим, выпустит ли ФСТЭК отдельное информационное письмо по аналогии с Windows XP и 2003 чтобы дать некоторую отсрочку пользователям.
PPS: А вот и информационное письмо ФСТЭК вышло

четверг, 9 января 2020 г.

Видео новогоднего вебинара с ответами на вопросы по ПДн и ИБ


Всех поздравляю с наступившим новым 2020 годом. Всем желаю критических систем без инцидентов, инцидентов без вреда, вреда без сроков. Читателей этого блога благодарю за ваше внимание и поддержку – без него, все это было бы бесполезным.

Также хочу поделится с вами записью предновогоднего вебинара, который мы провели с Ксенией Шудровой 25 декабря, посвященного ответам на ваши практические вопросы из жизни ИБ. Вопросы собирались заранее, но была возможность задать и дополнительные по ходу вебинара. Если кратко, то мы обсуждали следующие вопросы:
·        про ответственного за организацию обработки
·        про согласие ПДн
·        про ПДн биометрию
·        про ПДн спецкатегории
·        про обезличивание ПДн
·        про обработку ПДн в группе компаний
·        про обработку ПДн в ЦОДах
·        про состав ПДн
·        про политику и положение
·        про неавтоматизированную обработку ПДн
·        про архивы
·        про уязвимости из БДУ
·        про угрозы
·        про компенсирующие меры
·        про социальную инженерию и фишинг
·        про аттестацию
·        про государственный контроль обработки ПДн
·        про контроль обработки ПДн со стороны субъекта
·        Ксения Шудрова про книгу по ПДн
·        Сергей Борисов про рабочую группу РКН по разработке методических рекомендаций
·        и другие вопросы


Сама запись ниже:


Тайм-лайн в первом комментарии под видео.