Блог Сергея Борисова про ИБ

Последнее время СТО БР ИББС набирает обороты среди банков. Уже более 50% кредитных организаций заявило о желании соответствовать это стандарту. В соответствии со стандартом необходимо проведение регулярных мероприятий по оценке (как внутренней, так и внешней) соответствия Банка стандарту и совершенствование СОИБ. Так как процесс оценки достаточно трудоемкий и непростой, то средства автоматизации оценки будут очень кстати. Достаточно давно я уже познакомился с ПО ExactFlow «Оценка соответствия» производства компании Pacifica . Но так как стоимость его была достаточно высокой – 190 000 руб. по акции, то дальше тестирования дело не пошло. И вот недавно обнаружил ещё одно неплохое средство автоматизации оценки – ПО Программный комплекс Bank Security Assessment Tool (BSAT) производства компании LeetSoft ( http://www.leetsoft.ru ). По результатам тестирования выяснилось, что данное ПО достаточно простое и удобное в использовании. С его помощью можно минимальными силами провес...

Речь идет о разделении всех имеющихся в Организации каналов связи на контролируемые (доверенные) и неконтролируемые. Для неконтролируемых каналов связи, используемых для передачи конфиденциальной информации, такой как персональные данные, необходимо применение сертифицированных средств криптографической защиты информации. Ещё некоторое время назад (год-полтора) при согласовании с ФСБ России к контролируем каналам можно было отнести, например: · оптические каналы связи между двумя удаленными площадками в городе, · собственные каналы связи Организации, проходящие по неконтролируемой территории, но для которых применяются разумные организационно-технические меры защиты, · арендованные у провайдера каналы связи, для которых провайдер по договору несет ответственность за обеспечение защиты данного канала организационно-техническими мерами. Сейчас, похоже, позиция ФСБ России поменялась. Был получен четкий ответ, что к контролируемым каналам связи можно отнест...

Недавно компания Cisco начала агресивную компанию, по разъяснению что VPN продукты конкурентов нелегитимны потому что используют СКЗИ КриптоПро, но не имеют собственного сертификата ФСБ России. При всем уважении к компании Cisco, в существующих методических документах ФСБ по защите ПДн, написано черным по-белому: 5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы). Следовательно на данный момент нет причины требовать обязательной сертификации комплексного средства в ФСБ, если в них используются криптосредства классов КС1 и КС2.

Наконец-то банковское сообщество родило курс для аудиторов ИБ. Для всех кто этим занимается, можно сказать что это обязательный для посещения курс. В ближайшее время проводит его АИС:

Когда мы в Организации создаем ИСПДн и в месте с ней СЗПДн и проводим классификацию в соответствии с «Порядком проведения классификации информационных систем персональных данных, утвержден Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г №55/86/20», мы сталкиваемся с рядом вопросов. Один из них - стоит ли разграничивать доступ в ИСПДн? На первый взгляд этот вопрос проблем не вызывает. Но если начинаешь разбираться подробнее, то понимаешь что решение о разграничении доступа может привести к существенному повышению затрат на СЗПДн. Рассмотрим типовую ИСПДн: на АРМ пользователя установлен программный клиент, на сервере 1 установлено серверное приложение с которым связываются пользователи и на сервере 2 установлена база данных с которой связывается серверное приложение сервера 1. В соответствии с Приказом ФСТЭК от 5 февраля 2010г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных дан...

Из отчетов работы Управления Роскомнадзора по Краснодарскому и Республике Адыгея краю за 2010 год http://23.rsoc.ru/news/p15/news20281.htm уже можно делать интересные выводы: Как правило количество внеплановых проверок превышает количество плановых. Так что если вас нет в плане проверок Роскомнадзора, то расслабятся не стоит. Наиболее частые из выявленных нарушений: - обработка ПДн без согласия - сотрудники участвующие в обработке не уведомлены о том что они обрабатывают ПДн - места хранения ПДн, а так-же перечень лиц имеющих доступ к ПДн не определены - в договорах с контрагентами отсутствуют требования о конфиденциальности Сумма назначенных штрафов существенно увеличивается каждый квартал. На последний квартал средняя сумма штрафа составила порядка 20 000 руб.

У многих возникают вопросы: 1. как определить границы ИСПДн? 2. надо ли объединять несколько ИСПДн на одних и тех же АРМ в одну? 3. надо ли разделять одну ИСПДн на несколько? 4. надо ли выделять бумажную ИСПДн? Давайте рассмотрим требования, которые оказывают влияние на определение ИСПДн: 1. недопустимо объединение созданных для несовместимых между собой целей баз данных ИСПДн (в соответствии с статьей 5 ФЗ-152) 2. при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы (ПП 687) 3. обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных ...