tag:blogger.com,1999:blog-7314557066073505547.post4384902771526112006..comments2022-12-07T02:29:45.629-08:00Comments on Блог Сергея Борисова про ИБ: ПДн. Нарушители в Реестре операторов ПДн? Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-7314557066073505547.post-20216885227800091292017-10-19T01:25:39.809-07:002017-10-19T01:25:39.809-07:00Уважаемый Сергей!
Лично мне кажется, исполнение ф...Уважаемый Сергей! <br />Лично мне кажется, исполнение формальных требований законодательства, это, в какой-то мере, личное дело каждого. Точно так же, как "стучать" или "не стучать" в том числе и на не исполнение этих самых формальных требований.<br />Понятно, что блоги сами по себе, это удобная платформа для обсуждения существующих проблем, но почему бы не писать о реально сложившихся тупиковых ситуациях в нашей нормативке, которых КМК, более чем достаточно. Например:<br />1. Сравнительно недавно появившееся информационное сообщение ФСБ - "О неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ" /[url]http://www.fsb.ru/fsb/science.htm[/url]/. Так сказать, напоминалка о ПКЗ2005.<br />Возможно Вы в курсе, что в настоящий момент, по требованию ЦБ, все банки переходят с АРМ КБР на т.н. АРМ КБР-Н и, в связи с этим, должны реализовать процедуру формирования ЭП (так называемых ЗК/КА) в своём ПО (в АБС или в каком-либо другом).<br />Т.е. все банки страны ( и похоже, что и ЦБ) разом попали на нарушение требований ФСБ. Вопрос, как эти требования могут выполнить все банки сразу? (Это пол-года/год и достаточно круглая сумма, + нужен доступ к исходникам).<br />И почему "под раздачу" попадают банки а не разработчики ПО, которые остались "не при делах". С учетом того, что, наверное, все банки являются лицензиатами ФСБ, представляется, что риски для них не исчерпываются указанной статьей КоАП в сообщении ФСБ.<br />Отдельную "пикантность" данной ситуации придает позиция разработчика СКЗИ.<br />Собственно, ситуация с ДБО для ЮЛ примерно такая, просто никто не замарачивается, во всяком случае пока.<br /><br />2. Если зайти в ветку автоматизации форума на сайте bankir.ru можно увидеть, что самые "живые" темы это обсуждение различных способов сдачи отчетности и предоставления всяческой информации разным ведомствам в формате XML подписанных ЭП. Причем, можно увидеть, что все ведомства придумывают или используют какой-то свой собственный способ трансформации XML перед формированием ЭП. ЦБ тут опять впереди, т.к. отчетность в XML нужно преобразовывать для формирования ЭП одним способом, а платежи другим. Т.е. у любого банка используется некое кол-во ПО (примерно по числу получателей информации в виде XML файлов), где так или иначе встроено СКЗИ и, далее смотрим п.1.<br />Причем, самая гнусность ситуации, что всё это многочисленное ПО практически не совместимо друг-с другом, т.к. из-за отсутствия в стране стандарта на формирование ЭП под XML, каждое ведомство использует какую-то свою специфическую процедуру.<br />Вроде бы делов-то, ну стандартизировали бы XML-DSig или XAdES, разработчики ПО выпустили бы и (возможно) сертифицировали бы АРМ-ы или просто утилиты для подписания XML и вопрос закрыт. Так это не нужно никому, т.е. как Вы думаете, какая организация готова (или должна) взяться за разработку ГОСТа аналогичного европейскому XAdES или хотя бы XML-DSig? Отдельная песня, это то, что подавляющее большинство ведомств, включая ЦБ, предпочитают запихивать в XML подпись в формате CMS. Т.е. полностью запихивают весь контейнер PKCS#7. Спрашивается зачем всё это?<br /><br />3. Отдельная интересная тема, это наши модули доверенной загрузки (МДЗ) в виде вставляемых в ПК плат. Никогда не задавались вопросом, почему у наших вендоров МДЗ нет зарубежных конкурентов? Я периодически задаю эти вопросы представителям наших разработчиков, обычно они начинают ржать. <br />Вне нашей страны, вся тема доверенной загрузки крутится вокруг UEFI, TPM и соответствующей поддержки в ОС и ПО. TPM, функционально, это фактически встроенный криптотокен, где хранятся ключи и, в лучшем случае, имеется встроенный криптопроцессор и датчик случайных чисел.<br />Может пора поправить что-то в консерватории?<br /><br />С уважением!<br /><br /><br />Sacheshttps://www.blogger.com/profile/01705373206105642783noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-7730537994607991832017-10-16T22:39:10.204-07:002017-10-16T22:39:10.204-07:00Про политику ПДн я кстати писал и неоднократно. Но...Про политику ПДн я кстати писал и неоднократно. Но всётаки проверки сайтов, это прерогатива РКН. Зачем мне специально этим заниматься? К тому же, наверняка процент нарушителей будет примерно одинаковый. у 30% и политики в порядке и уведомление актуальное. А остальные не делают ни того, ни другого ни третьего... Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-76660886835840767872017-10-16T22:35:46.351-07:002017-10-16T22:35:46.351-07:00Блоги в общем то всегда использовались чтобы покри...Блоги в общем то всегда использовались чтобы покритиковать / публично рассказать о какой-то проблеме, обсудить её. Мне показалось важным предупредить организации от нарушений; а РКН дать подсказку, в каком направлении прикладывать свои усилия. <br />Если вы считаете данную статью неуместной, объясните подробнее почему? <br />Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-46485329075952496492017-10-11T07:54:52.270-07:002017-10-11T07:54:52.270-07:00Сергей, обычно с интересом читаю Ваши публикации п...Сергей, обычно с интересом читаю Ваши публикации по ИБ вообще и о специфике защиты ПДн в частности. Но смысл данной статьи, мне несколько не понятен.<br />Вы бы лучше задались вопросом почему, например, на сайте ЦБ или НСПК, отсутствует политика обработки ПДн. Или они их (ПДн) не обрабатывают в т.ч., в качестве операторов ПС?Sacheshttps://www.blogger.com/profile/01705373206105642783noreply@blogger.com