среда, 23 марта 2011 г.

Убирайте жесткие диски в сейфы


Вчера выступал на конференции, посвященной проблематике технической защиты ИСПДн. Презентацию вы, дорогие читатели, уже видели, потому не буду долго распинаться - расскажу о своих впечатлениях.

Во-первых, сам по себе приезд представителей ФСТЭК в нашу область - событие знаковое, а уж тем более - выступление на конференции с докладом. Поэтому все их ждали, и ФСТЭК ожидания публики не обманула. Была продемонстрирована неплохая, но достаточно стандартная презентация, ничего нового я для себя не увидел, и уж тем более - ничего сверхсекретного, однако представитель ФСТЭК попросил не размещать материалы в открытом доступе.

В отношении "тотального лицензирования" по ТЗКИ представитель ФСТЭК сказал, что его позиция (особо подчеркнул, что она совпадает с позицией центрального аппарата) такова, что лицензия нужна тем, кто оказывает УСЛУГИ, а не всем поголовно. Однако мало кто на это обратил внимание (видимо, получать ее никто и не собирался).

А вот дальше - интересные моменты. Мелькнувшая во вступительном слове мысль, что "сертификация" в качестве "оценки соответствия" для негосударственных структур - дело, по сути, добровольное (!), в итоге была сведена к необходимости обязательной сертификации. Здесь же прозвучала другая интересная мысль: если жесткий диск с ПДн после работы убирается в сейф, то никаких технических мер, кроме охраны того самого сейфа, не требуется. Но и она как-то была упущена слушателями. Далее следовало выступление Роскомнадзора, в котором идея съемных НЖМД как "отличного заменителя" КСЗИ была поддержана, а также прозвучала фраза, смысл которой сводился к необходимости построения одинаковой системы защиты для информации любых уровней конфиденциальности.

Выступление вашего покорного слуги следовало сразу за регуляторами, и оно, честно сказать, как процесс мне не понравилось. Всему виной особенности размещения: трибуна, за которой пришлось стоять (а я очень не люблю трибуны) и место, где проецировались слайды, находились в разных концах, и разделены были т.н. "столом президиума". Поэтому и мне, и президиуму для того, чтобы отслеживать происходящее на экране, приходилось поворачиваться боком (а иногда и больше :) к слушателям. Но последние были довольны, смеялись и аплодировали, чего нельзя было сказать о регуляторах... Особенно велико было их удивление тому, что стоимость владения лицензией на ТЗКИ составляет 3 миллиона: "откуда такие суммы, это же документ, и при выдаче лицензии проверяются документы, это 2 тысячи рублей..." К счастью, в зале находились представители двух из 3-х лицензиатов Вологодской области, и они смогли грамотно и доходчиво объяснить, что и как считалось.

После моего выступления представитель ФСТЭК очень красиво разрядил обстановку, сказав мудрую мысль о том, что действительно проблем много, действительно однозначных ответов на вопросы очень часто не отыскать, и все это происходит потому, что никто и никогда не делал экспертизу существующей нормативно-правовой базы в области защиты информации. А представитель Роскомнадзора добавил, что "всем нужно отрабатывать свою зарплату", после чего все, довольные и счастливые, ушли на перерыв.

После был круглый стол, на котором почему-то было очень мало вопросов. Роскомнадзор спрашивали про согласия на обработку и кадровые проблемы, ФСТЭК говорил про новый СТР-К и некоторые другие документы, которые разрабатывает Воронежский институт, но когда они увидят свет - неизвестно. В общем, как-то вяло - народ, видимо, подустал. Да и что спрашивать - сказали же, однозначного ответа не существует. Ну а потом все разошлись. Занавес.

С огромным сожалением вынужден констатировать тот факт, что доклада ФСБ по криптографии на конференции так и не прозвучало. То ли у представителя не нашлось времени, то ли не нашлось представителя - сие нам не ведомо. Но очень обидно, досадно... Ну да ладно.

От себя хочу сказать спасибо Алексею Лукацкому и Ригелю за материалы (некоторые мысли и слайды позаимствованы, копирайты соблюдены). Особое спасибо toparenko за рецензию :) Для того, чтобы скачать презентацию, необходимо открыть ее по ссылке и нажать на кнопочку Download, кто не хочет регистрироваться - пожалуйста, выложил на iFolder.

ЗЫ. Если будет видео - размещу отдельным постом :)

10 комментариев :

  1. Да мы много там пропустили мимо ушей, потому что некоторые выступления скомканы и без подтверждения законодательно. Что касается лицензии, то тут не утешительный ответ кстати. "Свои персональные данные" - это по сути ПДн работников, а в том же примере представителя ФСТЭК про то, что медицинское учреждение оказывает услуги и поэтому должно получать лицензию на ТЗКИ, логика есть, но справедливости нет ;)
    Насчет стоимости лицензии, мне просто лень было вставать. У меня в столе лежит ответ ФСТЭК об отказе в получении лицензии из-за отсутствия оборудования ;)
    После конференции заинтересовал вопрос про использование антивирусов только российского производства (пожелание/требование со стороны ФСТЭК). Документального требования что-то не нашел. Может в каком положении промелькнула строчка?

    ОтветитьУдалить
  2. Че-то я такого не видал. Это скорее из разряда просьб в плане поддержки отечественного производителя :)

    ОтветитьУдалить
  3. Анонимный23.3.11

    В отношении "тотального лицензирования" по ТЗКИ представитель ФСТЭК сказал, что его позиция (особо подчеркнул, что она совпадает с позицией центрального аппарата) такова, что лицензия нужна тем, кто оказывает УСЛУГИ, а не всем поголовно. Однако мало кто на это обратил внимание (видимо, получать ее никто и не собирался).

    Таким образом - любой специалист по ИБ (есть диплом о высшем образовании специальности по защите информации) может по договору подряда выполнять для "своих" нужд организации, которая нас наняла, все документы по защите ПДн И настраивать сикретнеты с всякими юзергейтами? А кто понесет ответственность, если сикрет нет уставновлен по принципу "Далее, принимаю, далее, готово"? Лицензия на то и предусмотренна. Смею предположить что представитель ФСТЭК хотел обратить внимание что для свобственных нужд документы можно и без лицензии сделать.
    Как вы считаете?

    ОтветитьУдалить
  4. to Анонимный: ну, во-первых, поскольку тематика конференции была "техзащита", то речь ФСТЭК была именно о ней - про документы никто не говорил вообще. Во-вторых, если внимательно почитать 58 приказ ФСТЭК, выдержки из которого приведены в презентации, то там написано, что организация может делать все сама, а может привлекать аутсорсера с ТЗКИ. Как мы знаем, в 58 приказе речь идет вовсе не о документах.

    Что касается ответственности - то она бывает разная. В частности, за любой инцидент с ПДн ответственность несет оператор. В случае, если ИБ не отдана на полный аутсорсинг, аутсорсер, устанавливающий и настраивающий сертифицированное СЗИ, будь он хоть четырежды лицензиат, после после подписания акта приема-передачи не несет никакой ответственности.
    И кто будет нести ответственность, если на этапе эксплуатации администратор безопасности допустил ошибку? Правильно, он же, согласно трудового договора и должностной инструкции. А если такого администратора в штате нет - то зачем вообще весь сыр-бор? Что будет делать такая контора после перевода СЗИ на этап промэксплуатации?

    Я считаю, что не нужно здесь ничего предполагать. Сказано было именно так как сказано. И это правильно.

    ОтветитьУдалить
  5. > если жесткий диск с ПДн после работы убирается в сейф, то никаких технических мер, кроме охраны того самого сейфа, не требуется.

    Смешные, а чем отличается корпус компьютера от сейфа?))Интересно на какие РД они опирались когда говорили эту чушь?)) Требования по инженерно-технической укрепленности слава богу не подвластны ни тем? ни тем.

    > идея съемных НЖМД как "отличного заменителя" КСЗИ была поддержана

    Ага, они скоро и VPN предложат фельдсвязью заменить)))
    И бланки заполнять будем молоком))

    ОтветитьУдалить
  6. Анонимный24.3.11

    Я считаю, что не нужно здесь ничего предполагать. Сказано было именно так как сказано. И это правильно.

    Так вы считаете, что ситуация при которой по договору подряда нанимается просто специалист для выполнения ВСЕГО перечаня мероприятий, в том числе и по внедрению СЗИ - считается законной и имеющей место быть в практике подготовки всех операторов к проврке фстэк (пусть не сейчас, пусть в будущем)?

    ОтветитьУдалить
  7. Такого рода конференции будут полезны тогда, когда четко будут прокомментированы документы ФСТЭК. Также важно, чтоб делали выводы по проблемам у операторов, пробелы в нормат-распор. документах. А то, что они сказали и как они думают никуда не пришьешь и не сошлешься. Когда оператор будет открывать правовую систему Консультат-Плюс или гуглится, что болтают на конференциях мало кто найдет. Сам лично, открывая их документы много становится не понятно, упущенно и ответы пытаешся найти на таких блогах как Лукацкого, Анна, Волкова... не ответы, но что думают...

    ОтветитьУдалить
  8. Кстати, может кто подскажет как так ФСТЭК разграничил модель угроз на базовую,типовую, частную. Есть еще отраслевые. Я вот перерыл все. Нигде не сказано, где какая модель нужна, в чем их отличие, какое должно быть содержание в документе модели угроз. Упоминается что для спец. ИСПДН должна быть частная и все. Для меня модель угроз как большой туман со стороны ФСТЭК. Может подскажите как поступать с несколькими ИСПДн, как разработать ПРАВИЛЬНО модель угроз (к примеру для 1с), также как оформлять модель нарушителя , на основе этого же и разрабатывается СЗ ПДН, можно сказать должна быть тройная связка... модель угроз+нарушитель=СЗ ПДН

    ОтветитьУдалить
  9. to avetjan: так в том и суть - спрятал в сейф, регуляторы приехали, поглядели, развернулись и уехали - не их юрисдикция сейфы проверять :)

    to Анонимный: документы - да, а вот техзащиту - нет. Читаем 58ПР: либо должностное лицо организации-оператора - то есть специалист, находящийся в штате конторы, либо юрлицо-лицензиат. Никаких вольнонаемных.

    to ЕвгенийКР: согласен, слово к делу не пришьешь. Но и мы с коллегами не истина в последней инстанции. Потому в презентации все вопросы оставлены открытыми. Что касается модели угроз, то тут такая терминология: базовая МУ - это пример того как должно быть, частная МУ - это базовая, заточенная под конкретную ИСПДн. Модель нарушителя есть подраздел фстэковской МУ, поэтому если Вы пользуетесь ею, то отдельно разрабатывать модель нарушителя не нужно.

    ОтветитьУдалить
  10. Анонимный25.3.11

    (в нарушение ст. 2, 3, 7, 13, 15, 18, 19, 21, 23, 24, 28, 29, 32, 33, 71, 72, 80, 82, 114 Конституции РФ, был принят ФЗ № -210 «Об организации предоставления государственных и муниципальных услуг»)
    http://www.detirf.org/news/219/
    В июльскую жару, «под дымовой завесой» лесных пожаров, охвативших Россию летом 2010 года, принят Федеральный закон № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» Этот закон в корне изменяет концепцию отношений гражданина и государства, закрепленную в статьях 2, 3, 7, 15, 18, 24, 35, 38, 43, 28, 29, 39, 41, 71, 72, 130-133, 110-114, 80, 82 Конституции РФ. Конституционные полномочия и обязанности органов власти и органов местного самоуправления по обеспечению и защите прав и свобод граждан незаконно трансформируются в коммерческую деятельность по предоставлению «платных услуг». Принятие такого закона без всенародного обсуждения нарушает права каждого гражданина России.

    http://old.znak-corp.ru/Mifare.html

    http://www.forum.littleone.ru/showthread.php?p=54835174
    может обсудим?
    или голову в песок спрячем?

    страус

    ОтветитьУдалить