пятница, 26 ноября 2010 г.

Сила мысли


Пару месяцев назад я опубликовал заметку относительно программного продукта DeviceLock. Сегодня зашел на их сайт посмотреть, вышла ли новая версия (обещали в конце 3 квартала), и приятно удивился. Оказывается, выход новой версии отложен, а разработчики проводят публичное бета-тестирование! Уж не знаю, что их сподвигло на такой шаг (может, мой пост?), однако я скачал бету и попробую провести тот же эксперимент, что ранее проводил один из студентов-дипломников. Особо активным бета-тестерам разработчики в виде бонуса предлагают бесплатную лицензию, поэтому у кого есть время и желание - принимайте участие, вдруг повезет :)

суббота, 13 ноября 2010 г.

Как корабль назовете - так и поплывет


Просила намедни одна знакомая помочь ей с заполнением уведомления в Роскомнадзор. Магазин у нее небольшой по продаже парфюмерно-косметической продукции и, хоть работает он под вывеской известного бренда, в реальности это - обычная франшиза. Таким образом, мы имеем отдельное, самостоятельное юридическое лицо со всеми вытекающими. И все бы ничего, но юрлицо это обязано по договору франшизы оформлять клиентам дисконтные карты, с передачей их персональных данных, что называется, в "центр".

Надо отдать должное этому самому "центру" - во всех анкетах предусмотрены соответствующие пункты-согласия, разработан полный комплект документации ("центр" прислал типовые формы - она только подписывала), на рабочих станциях - пароли и антивирус, а с "центром" организован VPN через железку, выполняющую и функции межсетевого экрана. Правда, приобреталось и настраивалось все это добро за кровные хозяйки магазина - но ничего не поделаешь: иначе, по ее словам, "центр" лишил бы ее франшизы.

Проблема заключалась в том, что в комплекте документов, присланных "центром", было все (даже образец акта классификации), кроме типовой формы уведомления. "Центр" сообщил, что уведомление можно заполнить на сайте Роскомнадзора, все исходные данные для этого есть в документах. Вот этим, собственно, мы и стали заниматься.

Исходные данные действительно были в документах. Дойдя до пункта "Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке", в документе под названием "Политика информационной безопасности" я отыскал следующее:

11. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Защита персональных данных физических лиц организуется в соответствии с требованиями законодательства РФ и достигается с помощью организационных мер и технических средств.
11.2. Организационные меры защиты персональных данных определяются "Положением по организации системы защиты персональных данных".
11.3. Защита ПДн, обрабатываемых в ИСПДн организации, осуществляется техническими средствами, реализующими:
  • защиту СВТ ИСПДн от несанкционированного доступа (см. п. 7.1);
  • защиту СВТ ИСПДн от вредоносного кода (см. п. 7.3);
  • защиту ИСПДн от внешних угроз посредством межсетевого экранирования (см. п. 7.2);
  • защиту каналов связи, по которым передаются ПДн (см. п. 7.4);
Пункт 7.1 Политики говорит о парольной защите рабочих станций: в нем указаны требования, предъявляемые к сложности пароля, частоте его смены и аудите событий ОС. Пункт 7.3, как многие уже догадались - об антивирусном ПО. С пунктом 7.2 все понятно.

Самый большой интерес вызывает пункт 7.4, я привожу его с небольшими изменениями:

Для предотвращения несанкционированного доступа в корпоративную сеть "центра" используются средства защиты каналов связи, основанные на технологии VPN. Создание и администрирование защищенных каналов связи для организации удаленного доступа в корпоративную сеть является исключительной прерогативой "центра". Использование средств удаленного доступа в корпоративную сеть "центра" любыми другими лицами в любых целях не допускается.

Тут же в моей памяти пронеслось все прочитанное мной на форумах и блогах про криптографию, VPN-ы, SSL-и связанные со всем этим баталии. Тут же я вспомнил требования ФСБ, для обеспечения безопасности персональных данных при их обработке в информационных системах предписывающие использовать криптосредства, сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации), и один из постов Алексея Лукацкого под названием "шифрование и обезличивание", где Алексей предлагает поиграть терминологией. И поразился красоте решения...

Оказывается, VPN построен не для того, чтобы обеспечивать безопасность ПДн - он был организован ДЛЯ ЗАЩИТЫ КАНАЛОВ СВЯЗИ, а это, в свою очередь, необходимо ДЛЯ ПРЕДОТВРАЩЕНИЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В КОРПОРАТИВНУЮ СЕТЬ. А это означает, что железка эта находится не в ведомстве ФСБ, так как формально не предназначена для шифрования данных, а в ведомстве ФСТЭК, поскольку цель ее установки - защищать канал от НСД. Вот и получается, что благодаря VPN, персональные данные по Интернету НЕ передаются, а благодаря такому целеуказанию - шифровальные (криптографические) средства для защиты данных НЕ используются! Кроме того, немного изменив формулировки, аналогичную логику можно использовать и для SSL.

Если бы у меня на фото в профиле была надета шляпа, я бы поработал в Фотошопе и "снял"ее: браво, коллеги из "центра"!

А что думаете Вы, дорогие читатели блога?

Персональные данные: от Европы до России. Часть пятая, заключительная.


Говорят, гостям бывают рады два раза: первый - когда приходят, второй - когда уходят. Сегодня есть повод порадоваться у всех, кто читал наш "сериал", опубликованный в интернет-издании iBusiness: пятая, заключительная, часть нашей масштабной публикации представлена Вашему вниманию (здесь - ссылки на первую, вторую, третью и четвертую части).

От себя лично хочу сказать огромное спасибо Александру Токаренко и Евгению Цареву за совместную работу и пожелать нам всем творческих и профессиональных успехов в нашем нелегком деле.

Всех наших читателей хочу поблагодарить особо: мы работаем для Вас, и если бы не Ваше желание познавать новое, читать статьи, блоги, комментировать, критиковать и излагать свои мысли - труды эти были бы напрасны. Уходить, конечно, мы с коллегами-соавторами никуда не собираемся, будем дальше трудиться на благо (как нам кажется :) общего дела.

ЗЫ: на всякий случай, выкладываю авторский текст всей публикации (PDF).

четверг, 11 ноября 2010 г.

Судьба барабанщика


Летом в блоге я делился своими мыслями относительно разгоревшегося шпионского скандала между Росией и США, и последовавших за ним серией разоблачений и утечек конфиденциальных данных. И вот теперь, очевидно, настало время нам, простым смертным, узнать некоторые подробности произошедшего, что называется, "изнутри".

Как стало известно изданию "Коммерсант", предателем, "сдавшим" российских агентов, был полковник Щербаков, долгое время служивший в СВР начальником американского отдела управления "С", ведающего работой с нелегалами. На фото - один из нелегалов - самый "матерый" и ценный из тех, что раскрыли: попробуйте угадать, кто (подсказка: у него в руках фотоаппарат).

Мне лично не понятно, как же все-таки в СВР подбирают кадры - неужели после заполнения анкеты для устройства на работу в СВР через Интернет тебя автоматически зачисляют в штат? И как в СВР организовано хранение личных дел сотрудников-нелегалов - ведь это наивысшая степень конфиденциальности, и вот так просто можно вывезти любое дело за рубеж?

Одна голова - хорошо, а много - лучше


Народная мудрость, конечно, звучит несколько иначе, но смысл ее остается незыблемым уже многие века: есть проблемы, с которыми в одиночку не справится. К такой области относится и проблематика защиты персональных данных - не только в России, но и во всем мире.

Конечно, есть действительно классные, просто суперспециалисты по защите информации в общем и персональных данных в частности, подкованные и в юридических, и в технических, и во всех остальных вопросах, однако даже гениальному доктору Хаусу из одноименного сериала была нужна команда хотя бы для того, чтобы обсуждать его теории. Я искренне считаю, что любое знание имеет право на жизнь только тогда, когда его разделяет (или не разделяет, но все-же обсуждает) общество - и чем оно (общество) больше, тем дольше знание живет, а значит - живет и его источник - человек (вот он, путь к вечной жизни :).

Узнавать что-то новое самому и делиться своими знаниями с другими, обсуждать, подтверждать или опровергать их - процесс, доставляющий думающей части моего тела ни с чем не сравнимое удовольствие, и, как я надеюсь, приносящий пользу окружающим. Именно для того, чтобы надежды эти были не напрасны, и для того, чтобы принять свое посильное участие в решении проблем, связанных с защитой персональных данных, я принял решение о вступлении в "Ассоциацию ДАТУМ" - и сегодня стал ее полноправным участником.

Ассоциация находится еще в самом начала пути, кое-что сделано (жаль, без моего участия) - но по сравнению с тем, сколько еще предстоит сделать - это всего лишь песчинка, крупица. Однако, вспоминая еще одну народную мудрость - "курочка по зернышку клюет" - лично я верю, что труд не напрасен, и цели, продекларированные Ассоциацией, будут реализованы.

Персональные данные: от Европы до России. Часть 4


Интернет-журнал iBusiness продолжает серию статей (ох, и понаписали мы, все же...), посвященных проблемам законодательства в сфере обработки персональных данных. Напомню, на первом этапе совместного исследования на блоге Евгения Царева мы провели небольшой опрос и выявили семь проблем в действующем законодательстве, потребность в устранении которых наиболее остро испытывают отечественные операторы персональных данных.

Всех, кто принял участие в этом опросе и оставлял свои комментарии мы считаем полноправными соавторами этой публикации  - и потому в iBusiness всем Вам - респект-уважуха :).

На всякий случай - ссылки на первую, вторую и третью части публикации. Продолжение следует!

понедельник, 8 ноября 2010 г.

Персональные данные: от Европы до России (Часть 3)


iBusiness продолжает публикацию нашего совместного исследования. В третьей части мы начнем исследовать действующее законодательство в области персональных данных — источник целого ряда проблем, с которыми сталкиваются все участники взаимоотношений.

Для тех, кто пропустил - привожу ссылки на первую и вторую части публикации.

среда, 3 ноября 2010 г.

Персональные данные: от Европы до России (Часть 2)


Интернет-журнал iBusiness продолжает публикацию цикла статей, подготовленных по результатам совместного исследования. Вторая часть исследования посвящена истории защиты персональных данных в России.

Первая часть исследования, посвященная проблематике защиты персональных данных в международном праве, доступна по этой ссылке.

вторник, 2 ноября 2010 г.

Палка о двух началах, или еще раз о классификации ИСПДн


О классификации информационных систем персональных данных (ИСПДн) написано немало: целые статьи, сайты и форумы посвящены этой животрепещущей теме. При этом, подавляющее большинство рекомендаций сводится к уменьшению количества записей, обрабатываемых в ИСПДн, переводу ряда категорий ПДн в "бумажную" или дроблению одной "большой" ИСПДн на части.

С выходом "Приказа № 58" ФСТЭК с классификацией стало несколько проще, потому как особой разницы между требованиями к технической защите ИСПДн 2 и 3 класса в "Положениях о методах и способах..." не наблюдается, чего нельзя сказать о требованиях, предъявляемых к ИСПДн 1 класса: организация, обладающая такой ИСПДн, должна серьезно раскошелиться на ее защиту. При этом, весьма досадно осознавать, что если в твоей ИСПДн обрабатываются 99999 записей - то это К2, а если на обну больше - то К1. Автор этого блога, внимательно перечитав "Приказ Трех" от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", понял, что, в принципе, существует и альтернативная модель классификации, о которой все почему-то говорят весьма неохотно или не говорят вообще. Свои рассуждения на эту тему я выношу на суд читателей.

Итак, нам необходимо классифицировать некую гипотетическую ИСПДн, назначение которой - обработка персональных данных сотрудников некоего большого, территориально распределенного  учреждения. Поскольку мы легких путей не ищем, пусть эта ИСПДн будет "огромной": она обрабатывает большое количество записей (выше 100 тысяч), территориально распределена по всей России, и обрабатывает персональные данные 2 категории - то есть позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Спецкатегории в нашей ИСПДн не обрабатываются: не зря эти ПДн вынесены в ЗоПД в отдельный раздел - они напрямую пересекаются с Конституцией, дающей право на тайну частной жизни, поэтому их наличие автоматически переводит любую систему в класс К1. 

Прежде всего, что нам необходимо сделать согласно Приказа - собрать исходные данные об ИСПДн. К их числу относятся:
  1. Категория обрабатываемых в информационной системе персональных данных Хпд = 2;
  2. Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) Хнпд = 1
  3. Структура информационной системы - распределенная;
  4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена - есть;
  5. Режим обработки персональных данных - многопользовательский;
  6. Режим разграничения прав доступа пользователей информационной системы - с разграничением прав доступа;
  7. Местонахождение технических средств информационной системы - в пределах Российской Федерации.
Кроме того, для нашей ИСПДн, помимо конфиденциальности, необходимо обеспечить и другие характеристики безопасности, например, целостность и доступность, а значит, наша ИСПДн носит гордое название СПЕЦИАЛЬНАЯ. Вроде, все характеристики собраны - давайте посмотрим, ради чего мы потратили наше время.

Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб - тем выше класс и, соответственно, тем выше должны предъявляться требования к технической защите. Пункт 14 Приказа говорит о 4 классах: отсутствие негативных последствий (4 класс), незначительные негативные последствия (3 класс), негативные последствия (2 класс) и значительные негативные последствия (1 класс). Присвоение того или иного класса ИСПДн, согласно того же пункта, осуществляется по результатам анализа исходных данных. Что ж, подход вполне справедливый.

Однако внимательное прочтение 14 пункта Приказа повергает в некоторое смятение: оказывается, такая классификация предусмотрена ДЛЯ ТИПОВЫХ ИСПДн: дословно - "По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов...", и дальше идет перечисление. Стоп, но у нас же специальная ИСПДн - исходя из буквы закона (Приказ зарегистрирован в Минюсте и, стало быть, имеет юридическую силу), пункт 14 ее не касается, и значит - должна быть какая-то другая классификация?

В еще более глубокое смятение повергает пункт 15, фактически нивелирующий глубокий смысл 14 пункта относительно "анализа исходных данных". Пресловутая "табличка", которая позволяет оценить класс типовой ИСПДн, фактически оперирует всего лишь двумя ее характеристиками - Хпд и Хпнд. Про остальные исходные данные ИСПДн можно просто забыть! Позвольте, но зачем же тогда мы их собирали? Будь наша ИСПДн типовой, то, согласно этой табличке, она попала бы в К1, однако наша ИСПДн - специальная, и табличку эту, равно как и весь пункт 15, мы можем просто не принимать во внимание. Что же делать?

Ответ на эти два вопроса кроется в пункте 16, который, согласно букве закона, заложенной в алгоритме классификации, нужно смотреть после пункта 13 (не взирая на пункты 14 и 15), говорит нам о том, что класс СПЕЦИАЛЬНОЙ ИСПДн определяется на основании исходных данных, собранных в соответствии с данным Приказом, и на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с п. 2 ПП 781 - а это ни что иное, как "Базовая модель угроз..." и "Методика определения актуальных угроз..." - необязательные к исполнению остатки ФСТЭКовского четверокнижия.

Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что НЕГАТИВНЫЕ последствия может нанести нарушение целостности и доступности сведений о табельном учете и финансовой информации, так как это приведет к несвоевременной (неполной, неправильной) выплате заработной платы субъекту. Реализация всех остальных угроз (включая нарушение конфиденциальности) приведут к НЕЗНАЧИТЕЛЬНЫМ НЕГАТИВНЫМ последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2! Таким образом, мы законно и справедливо имеем возможность классифицировать специальные ИСПДн вне зависимости от того, как классифицируются типовые.

Я перерыл много нормативных документов, излазил много форумов и сайтов в поисках опровержения такой методики классификации - и не нашел ничего такого, что могло бы хоть как-то ее опровергнуть. Наконец, я решил обратиться в Роскомнадзор с разъяснениями, и вот какой ответ получил (с незначительными смысловыми правками):

Составление модели угроз - компетенция ФСТЭК, нашей службе необходим от оператора только акт классификации. А уж к какому классу он отнес свою ИСПДн, дело оператора и ФСТЭК. Но, по логике, вроде бы теория имеет право на существование. Действительно, по специальным ИСПДн класс определяется на основании модели угроз и соответственно может быть изменен в сторону уменьшения или увеличения. Есть одно НО: по нашим сведениям, ФСТЭК трактует таким образом: можно класс повышать, а вот понижать ниже типовой нельзя. Надо им задавать вопросы.

Что ж, резонно. Значит, у Роскомнадзора вопросов к классификации не будет, тем более, если модель угроз составляла организация, имеющая лицензию на ТЗКИ. У меня есть все основания полагать, что и у ФСТЭК в этом случае вопросы вряд ли возникнут - на мой взгляд, логика в изложенной методике имеется. Очень хотелось бы узнать мнение читателей блога - потому прошу Ваши комментарии, коллеги!

понедельник, 1 ноября 2010 г.

Персональные данные: от Европы до России


Спешу обрадовать всех читателей, изрядно уставших ожидать, когда "эти трое" Волков, Toparenko и Царев уже опубликуют свое не раз обещанное "совместное исследование": сегодня интернет-журнал iBusiness начал публикацию нашего "подзалежавшегося" совместного труда, в авторском варианте имевшего название "Персональные данные по-европейски и по-русски".

В связи с тем, что работа получилась достаточно масштабной - порядка 17 листов авторского текста, iBusness публикует ее как цикл статей - но зато без сокращений и абсолютно бесплатно. От лица всех авторов работы извиняюсь перед читателями за длительное ожидание - материал был полностью готов 30 августа 2010 года, однако публикация, сами понимаете, дело не быстрое.

Мы старались, чтобы Вам понравилось. Любые мнения, комментарии, мысли - приветствуются!