Блог Сергея Борисова про ИБ

Сразу скажу, что нет явных требований в нормативных документов РФ к наличию такого документа в Организации. Но если мы начинаем выполнять другие требования, то сталкиваемся со следующей картиной: 1. Часть 1 Статьи 5 ФЗ-152 определяет принципы, на основе которых должны обрабатываться ПДн. Для выполнения данного требования необходимо определить следующие основные характеристики обработки ПДн: цели обработки ПДн, способы обработки ПДн, законные основания для обработки ПДн, цели заявленные при сборе данных, объем обрабатываемых ПДн, характер обрабатываемых ПДн. Так как условия обработки ПДн постоянно меняются, то недостаточно определить эти основные характеристики один раз - например, в отчете об обследовании ИСПДн. При любом изменении существенных характеристик обработки ПДн должен выполнятся анализ соблюдения принципов. Результатом этого регулярного анализа должен быть какой-то документ. Почему бы этим документом не быть – Перечню ПДн ? 2. Часть 2 Статьи 5 ФЗ-15...

Обычно я не пишу заметки про новые СЗИ, но в данном случае вопрос слишком актуальный чтобы обойти его вниманием. До недавнего времени сертифицированные в ФСТЭК версии ПО Microsoft были фактически не жизнеспособны в средних и крупных компаниях. Дело в том, что для выполнения всех требований ФСТЭК России при сертификации, компания АЛТЭКС-СОФТ разработала следующие условия функционирования сертифицированной версии: · Необходимо полностью отключить автоматическое обновление и в дальнейшем устанавливать обновления вручную и локально. · Обновления нельзя устанавливать любые, а только те, которые предлагает утилита Check , после локального анализа системы. Проблема усугубляется тем, что утилита Check ошибается при анализе и пытается “заставить” Вас установить лишние обновления. · Обновления необходимо скачать вручную и установить на каждую систему отдельно. · Необходимо отключить все “лишние” службы. Обычно отключенная служба оказывается нужна для ...

В соответствии с Федеральным законом РФ от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" в квалифицированном сертификате будет содержаться «номер страхового свидетельство государственного пенсионного страхования». Соответственно по нашей методике категорирования ПДн, данные о субъекте содержащиеся в сертификате будут относиться к персональным данным 2-ой категории – «персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию». Конечно УЦ может начать собирать согласия на общедоступность номера страхового свидетельства государственного пенсионного страхования. Но как быть если субъект согласие не дает, а сертификат нужен для получения неких гос. услуг. А в соответствии с ФЗ-152 права и свободы граждан не могут быть ограничены, даже если он не дает согласия. Плюс согласие может быть отозвано в любой момент, а обработка данных в сертификате продолжит обрабатываться. В общем, эти особенности нак...

Каждый раз при аудите ИБ участники на объекте аудита чтобы подготовится со своей стороны просят предоставить: регламент аудита, план аудита, предварительный опросник по аудиту ИБ, общий перечень вопросов в рамках аудита ИБ. И каждый раз повторяется ситуация, что до начала аудита проверяемая сторона не успевает определить участников аудита в соответствии с регламентов и заполнить предварительный опросный лист. В итоге эти вопросы приходится решать на первом совещании, на объекте аудита и первые пару дней после него. И даже после этого план аудита постоянно продолжает меняться – у одного участника аудита возникает ЧП, у другого срочное совещание, у третьего наоборот свободный день появляется раньше запланированного. И что самое странное – чем крупнее и серьезнее Организация, тем меньше они делают со своей стороны на этапе подготовки к аудиту ИБ. Это у всех такое случается или только я что-то непонимаю?

Последнее время СТО БР ИББС набирает обороты среди банков. Уже более 50% кредитных организаций заявило о желании соответствовать это стандарту. В соответствии со стандартом необходимо проведение регулярных мероприятий по оценке (как внутренней, так и внешней) соответствия Банка стандарту и совершенствование СОИБ. Так как процесс оценки достаточно трудоемкий и непростой, то средства автоматизации оценки будут очень кстати. Достаточно давно я уже познакомился с ПО ExactFlow «Оценка соответствия» производства компании Pacifica . Но так как стоимость его была достаточно высокой – 190 000 руб. по акции, то дальше тестирования дело не пошло. И вот недавно обнаружил ещё одно неплохое средство автоматизации оценки – ПО Программный комплекс Bank Security Assessment Tool (BSAT) производства компании LeetSoft ( http://www.leetsoft.ru ). По результатам тестирования выяснилось, что данное ПО достаточно простое и удобное в использовании. С его помощью можно минимальными силами провес...

Речь идет о разделении всех имеющихся в Организации каналов связи на контролируемые (доверенные) и неконтролируемые. Для неконтролируемых каналов связи, используемых для передачи конфиденциальной информации, такой как персональные данные, необходимо применение сертифицированных средств криптографической защиты информации. Ещё некоторое время назад (год-полтора) при согласовании с ФСБ России к контролируем каналам можно было отнести, например: · оптические каналы связи между двумя удаленными площадками в городе, · собственные каналы связи Организации, проходящие по неконтролируемой территории, но для которых применяются разумные организационно-технические меры защиты, · арендованные у провайдера каналы связи, для которых провайдер по договору несет ответственность за обеспечение защиты данного канала организационно-техническими мерами. Сейчас, похоже, позиция ФСБ России поменялась. Был получен четкий ответ, что к контролируемым каналам связи можно отнест...

Недавно компания Cisco начала агресивную компанию, по разъяснению что VPN продукты конкурентов нелегитимны потому что используют СКЗИ КриптоПро, но не имеют собственного сертификата ФСБ России. При всем уважении к компании Cisco, в существующих методических документах ФСБ по защите ПДн, написано черным по-белому: 5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы). Следовательно на данный момент нет причины требовать обязательной сертификации комплексного средства в ФСБ, если в них используются криптосредства классов КС1 и КС2.