четверг, 30 июня 2011 г.

Завтра была война


Итак, второе чтение законопроекта Резника - завтра. Какие-либо прогнозы делать бессмысленно. Полагаю, точнее - очень надеюсь, что третьего чтения завтра не будет, и его перенесут на осеннюю сессию. Может быть, за это время что-то поменяется. Но чего тут говорить - осталось менее суток. Ждем, наблюдаем.

среда, 29 июня 2011 г.

Фигура вторая, печальная


После внезапного исчезновения, текст законопроекта Резника для второго чтения вновь опубликован на сайте Думы. Это - другой текст. Комментарии - в блоге Алексея Лукацкого. От себя добавлю что, по сравнению со старым вариантом, смысл отраслевых стандартов полностью нивелирован, ущерб субъекту - полностью исключен, а все ЛООПДППО по идее попадают на лицензию по ТЗКИ, поскольку деятельность по защите ПДн они должны будут вести не на основе стандартов (идет четкий отсыл на статью 19) и не в собственных интересах (нуждах), а в интересах другого лица - со всеми вытекающими. Сдерживайте себя, коллеги. Ведь фигура-то была мной показана верно с самого начала, текст был излишне оптимистичен :(

ЗЫ. Судя по тем сопроводительным документам, что сейчас выложены на сайте Думы в ЭРК законопроекта, третьего чтения сразу не будет - везде идет речь только о втором. Так что надежда еще не умерла, хотя и наподдали ей не по-детски.

вторник, 28 июня 2011 г.

Было и прошло


Как я и предсказывал ранее, текст законопроекта Резника, размещенный 14.06.2011 года на сайте Государственной Думы для второго и третьего чтения и откомментированный мной ранее здесь и здесь, сегодня был удален из Автоматизированной системы обеспечения законодательной деятельности. Сейчас в Электронной регистрационной карте законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (в части уточнения условий и правил обработки персональных данных)" имеется только проект постановления думского Комитета с предложением принять законопроект во 2 и 3 чтении. Не смотря на появившуюся информацию относительно даты этих событий, предположительно назначенной на 1 июля 2011 года, в календаре рассмотрения вопросов ГД на эту дату пока ничего похожего не назначено.

Кто-то подсказывает мне, что пальцы скрутили мы не в той фигуре...

Палки рубят - щепки летят


Народная мудрость говорит о том, что никаких мер, обеспечивающих безопасность актива, в России предприниматься не будет до тех пор, пока не наступит определенное событие, явным образом ставящее защищаемый актив "на четвереньки". Именно поэтому большинство ИБ-шников считают инцидентом событие, попавшее в "пятую точку": так проще "срубить палку" и показать важность своей работы для бизнеса, который, в свою очередь, находится в дремучем информационнонебезопасном лесу.

И вместо того, чтобы стать проводником по выходу бизнеса из бурелома, увлекая его за собой постоянными объяснениями о том, что там, снаружи, мир давно изменился, что ИТ - это важнейший инструмент для бизнеса, а информация, как неотъемлемая часть ИТ в частности и бизнес-процессов в общем, требует такого же бережного к себе отношения, как его (бизнеса) любимый Лексус, ИБ-шник берет незаточенный топор и начинает рубить стоящий вокруг сухостой. Долго, нудно и неэффективно, но зато у всех на виду, в "поте лица" и с очевидным результатом.

Наконец (о, счастье!) увесистая палка падает и больно ударяет бизнес по голове: случается утечка. И сразу грамоты, премии, почет и уважение и деньги на проект. И к топору покупают числовое программное управление: теперь ИБ-шник, махая, может видеть скорость движения, глубину вхождения лезвия и силу сопротивления древесины. Так появляются новые показатели его деятельности, а частота их предоставления руководству возрастает втрое. При этом топор, как был, так и остался тупым топором, ИБ-шник приобрел небывалую уверенность в собственной значимости, а бизнес, как сидел в буреломе - так в нем и сидит...

Кем ты себя возомнил, Волков? У тебя что - все круто и здорово? Нет, конечно, хотелось бы лучше. Но я совершенно точно знаю, что 80% этого самого "лучше" зависит прежде всего от НАС и НАШЕГО отношения к делу. Мало написать документ и поставить железку - необходимо еще убедить (а не заставить) людей (и прежде всего руководство) в том, что нужно делать именно так, как там написано. А для этого нужно долго и настойчиво разговаривать с бизнесом на одном, понятном ему, языке.

Поэтому прежде, чем пенять на бизнес и сетовать на отсутствие финансирования - просто необходимо заглянуть "внутрь" себя и честно самому себе ответить на вопрос: а все ли я сделал для того, чтобы переломить ситуацию? И я искренне, от всей души желаю нам с вами, коллеги, чтоб мы ложились спать относительно спокойно, с чувством выполненного долга и некоторой (само)уверенностью в том, что сделали все от нас зависящее.

ЗЫ. Этим постом я завершаю трилогию (предыдущие посты здесь и здесь), подготовленную по мотивам 4 межотраслевого форума директоров по ИБ (эк меня торкнуло).

понедельник, 27 июня 2011 г.

Переоценка ценностей


В силу сложившегося в России отношения к нематериальным активам и очевидных сложностей расчета окупаемости ИБ-проектов, утечки информации видятся многим как чуть ли не единственный толчок, способный вытрясти из бизнеса хоть какие-то деньги на построение системы защиты. Особенно часто приходится слышать пример, связанный с утечкой клиентской базы. Люди, его приводящие, выставляют утечку клиентской базы в свете катастрофы вселенского масштаба: "все клиенты уйдут к конкурентам, продажи резко упадут, бизнесу - конец, хотите избежать - надо срочно что-то делать, дайте денег миллион евро, это куда дешевле чем потеря бизнеса".

Некоторым особо "неверующим" демонстрируют графики котировок акций иностранных компаний с резким снижением после объявления об утечке данных, тыча пальцем в точку падения и заглядывая в глаза с вопросом "вы же так не хотите"? И бизнесмены, скрипя бумажником, нехотя отслюнявливают красноватые купюры. При этом ни у кого не возникает вопрос, почему вдруг от компании, успешно ведущей бизнес и привлекательной для клиентов не только ценовой политикой, но и спектром предлагаемых товаров и услуг, выгодными условиями сопровождения сделок, имеющей надежную репутацию хорошего бизнес-партнера, после утечки этой злосчастной базы клиенты разбегутся к конкурентам как тараканы? И даже если так, то как это проверить - использовать потолочные метрики, сравнивать с другими аналогичными (преимущественно западными) случаями или самим создать искусственную утечку и считать отток?

В тех странах, где для компаний, разместивших акции на фондовой бирже, обязанность раскрывать информацию об утечках установлена законодательно, здорово помогают котировки. Те, кто мало-мальски знаком с фондовым рынком, знают, что основным фактором, влияющим на котировки акций, является "настроение инвесторов". Хорошее настроение - котировки вверх, рыночная капитализация растет, плохое - все наоборот. И если сообщить инвесторам (тем, кто держит акции или хочет их приобрести) об утечке, то настроение у них, понятное дело, не улучшится. Но ведь их настроение может ухудшится и от многих других факторов. Да и потом - получается, что защищаемым активом в конечном итоге является не информация, а имидж и репутация, на которые влияют не только утечки информации.

В нашей стране такой обязанности нет, да и фондовый рынок у нас - не чета западному. Как же посчитать величину ущерба? Именно таким вопросом и задалась одна знакомая мне фирма. Имитировать ситуацию с утечкой они не стали, а вместо этого - включили в ежегодный опросный лист, рассылаемый контрагентам, работающим более 5 лет и "делающим" 70% от суммарного объема выручки, вопрос вроде "Какие факторы повлияли бы на пересмотр наших отношений", среди вариантов ответа, помимо бизнес-факторов, был вариант "Утечка данных об условиях и объемах сделок с вашей компанией". Лишь 1,5% респондентов отметили этот пункт вместе с остальными: вот он, вклад утечек информации в риск потери "имиджа и репутации". Пересчитав пункты на деньги, получилось, что возможные потери от утечки составят менее 0,5% от годового оборота компании, а в пересчете на чистую прибыль - цифры, внимание на которые можно просто не обращать.

При этом, 60% всех опрошенных указали, что им периодически звонят фирмы-конкуренты и предлагают аналогичный сортамент по более низкой цене, но доверия к таким "деятелям" нет никакого: во-первых потому, что упоминание текущих бизнес-партнеров в борьбе за потребителя свидетельствует об определенном уровне жульничества, а во-вторых - эта "замануха" скорее всего будет временной, поскольку компания, работающая "в рынке", не может существовать на предлагаемых условиях торговли. Именно поэтому контрагенты следуют народной мудрости "старый друг лучше новых двух" но, благодаря таким предложениям, постоянно "прессуют старичка" по ценовой политике.

Стоит ли в этой компании хранить клиентскую базу как зеницу ока? Очевидно, нет - защищать можно, но не больше, чем все остальное. Конечно, есть много других компаний, занимающихся другими видами бизнеса, для которых риски потери репутации при утечке клиентской базы куда выше, чем для среднестатистического торговца. Да и у последнего, помимо этой базы, есть куда более критичная бизнес-информация - например, сведения по работе с должниками или стратегические планы развития. Однако нужно понимать, что утечка информации и ее использование в корыстных целях - это, как говорится, "две большие разницы". Безусловно, любая утечка - это удар по имиджу и репутации компании и, вполне возможно, ущерб от частичной потери этих бизнес-качеств будет весьма ощутим. Особенно, если дело касается информации о физических лицах - пресловутых "персональных данных". Последний пример компании SONY показал, что последствия ухудшения настроений инвесторов могут быть очень серьезными и затронуть не одну компанию, а целую отрасль (в данном случае пострадали компании, имеющие отношение к "облачным" вычислениям).

Тем не менее, в большинстве случаев сама по себе утечка не приводит к материализации страшных фантастических картин, воображаемых воспаленным мозгом ИБ-шника и подогреваемых community. Даже если вдруг такая неприятность случится и данные "утекут", при грамотно разделенных массивах информации и правильно разграниченном доступе к ним, объем утекших данных может оказаться хоть и большим, но совершенно бесполезным с точки зрения дальнейшего использования, а потому - не представляющим никакой коммерческой ценности. При таком раскладе утечка будет лишь номинальным свидетельством наличия определенных проблем в безопасности некоторых процессов, которые, безусловно, надо "подрихтовать". Для этого ИБ-шник должен помочь бизнесу определить критичную информацию, спрогнозировать последствия ее утечки и правильно обосновать необходимость разделения объемов информации и оптимизации процессов ее обработки, при этом ему нужно не только хорошо разбираться в предметной области, но (хотя бы немного) ориентироваться и в менеджменте организации, и в финансах, и в юриспруденции.

Это - в теории. В действительности же, увы, все бывает совсем наоборот. Бизнес идет по пути наименьшего сопротивления и, чтоб не париться, определяет всю (или совсем не ту) информацию как очень важную и критичную, а самоустранившийся от предыдущего этапа ИБ-шник считает вероятность ее утечки и яростно защищает все, что можно, тем, что дают. Все утечки имеют только одно объяснение - слабость системы защиты ввиду отсутствия должного финансирования. И поскольку любая утечка в России никогда не была катастрофой - в таком гипертрофированном компромиссе интересов бизнес и безопасность, как северный и южный полюс, способны долго сосуществовать в одной бизнес-системе. Как долго просуществует в таком виде сама система - ИБ-шнику, по большому счету, без разницы, кто бы что не говорил.

вторник, 21 июня 2011 г.

Три счастливых дня?


С 19 по 26 июня в Государственной думе перерыв - работа с избирателями. Честно сказать я, как избиратель, не знаю, что при этом происходит - может, включается психотропное оружие отложенного действия, заставляющее людей со слабой и неустойчивой психикой в последний момент перед избирательной урной принимать навязанное решение, и поэтому депутаты, как тараканы, разбегаются подальше от источника излучения. Да и не в этом дело. Следующее пленарное заседание состоится 28 июня в 10 часов, а это означает, что на прием законопроекта Резника остается ровно три дня. В противном случае - 152-ФЗ в его нынешней редакции будет в течение какого-то времени победоносно шествовать по стране, а позади него, размахивая сертифицированным флагом, будут держать строй и чеканить шаг счастливые до слез регуляторы. И, что самое печальное, все написанное мной ранее может так же внезапно исчезнуть, как и появилось...

понедельник, 20 июня 2011 г.

Попеарринг


В июньском номере журнала "Директор по безопасности" вышла моя статья под уже знакомым Вам названием "Техническая защита ИСПДн: проблемы и ... решения?".  Фактически - это несколько расширенная транскрипция моего выступления. Когда мы с редакцией ее планировали, я опасался, что к моменту ее выпуска многие проблемы будут решены, однако этого пока не случилось. Более того - выложенный на сайте Думы законопроект показывает, что статья, по бОльшей части для государственных органов, будет весьма а и весьма актуальна. Поэтому - собственно верстка.

И, собсно, сабж. На 4 межотраслевом форуме директоров по ИБ несколько человек пожаловались, что меня невозможно узнать по фотографии, размещенной в профиле. Еще бы - фотке лет 6, тогда я выглядел несколько иначе... Потому выкладываю актуальные снимки - для облегчения идентификации :)




Моих соседей, я полагаю, Вы узнаете без труда :)

воскресенье, 19 июня 2011 г.

ИнцЫдент МанагеМент


Слушая доклады коллег на тему борьбы с утечками на 4 форуме директоров по ИБ я, как и Ригель, отметил странную тенденцию: почему-то все чаще и чаще встречается мнение, что инцидент - это когда уже все плохое, что могло произойти - уже произошло, ИБ-шники вместе с компетентными органами начинают "стрелять по хвостам" в поисках виновных и, в случае отыскания, корчиться в попытках привлечения их к ответственности. По сути, именно такая прадигма заложена в рекомендациях Leta IT, хорошую рецензию на которые написал Алексей Лукацкий. Такая прадигма являет собой смысл выражения "хорошая мина при плохой игре" и свойственна всей нашей правоохранительной системе (т.н. "ментовской" или "палочный" подход) : мягкое место отрывается от стула в лучшем случае тогда, когда субъект уже мертв, а объект утрачен безвозвратно. Это - плохой подход с никому не нужным, выдаваемым для "галки" результатом, и если ИБ-шник этим бахвалится - будьте уверены: в его организации ИБ никого не ИБ. Почему - покажу на близком к реальному примере.

Однажды менеджер по продажам одной торгово-закупочной организации, ковыряясь в интернете, обнаружил на одном из сайтов предложение о продаже базы клиентов его собственной фирмы. Проявив сознательность, он немедленно сообщил об этом руководству, и закрутилось-понеслось. Безопасность зарегистрировала инцидент и начала ковырять всех и вся, и подключила к расследованию (на хороших отношениях) правоохранительные органы. Вместе со службой ИТ они выяснили, что один из терминальных серверов компании день назад был взломан неизвестным злоумышленником и, судя по логам, именно через него и была похищена клиентская база. Правоохранительные органы проявили сознательность и немедленно возбудили дело по статье 272 УК РФ (неправомерный доступ к компьютерной информации).

После проведения оперативно-следственных мероприятий было установлено, что к делу причастен бывший ИТ-специалист этой фирмы, отвечавший за обслуживание терминальных серверов и уволившийся аккурат за неделю до регистрации инцидента. Одновременно с этим, служба ИТ сообщила, что взломанный терминальный сервер вообще не должен был "светить" в открытом доступе, поэтому злоумышленник переконфигурировал сеть ненадлежащим образом и воспользовался своей собственной учетной записью. А кадровая служба сообщила о том, что должностная инструкция уволенным сотрудником почему-то не подписана, и в трудовом договоре в месте, где должна быть подпись об ознакомлении с внутренней организационно-распорядительной документацией, подписи тоже нет. "Вот везде есть, а вот там - нет" - сказал начальник отдела кадров, разведя руками. Руками развели и правоохранительные органы: нет подписей - нет и 274-й УК РФ (нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети).

Оперативники под видом потенциального покупателя вышли на контакт со злоумышленником, при покупке за 10 тысяч меченых рублей его взяли с поличным, но поскольку в организации не было установлено режима коммерческой тайны, похищенная информация не находилась на балансе фирмы и не была оценена, какой-либо материальный ущерб отсутствовал, иных фактов продажи информации установлено не было, а сам обвиняемый нигде не работал и пошел на сделку со следствием - суд ограничился исправительными работами сроком на 6 месяцев. Объявление о продаже, само собой, было удалено, служба безопасности с гордостью внесла эту победу в свои скрижали, а оперативники отчитались об успешно проведенной операции и заработали премию.

Есть ли толк от всего этого для владельца информации? Ответ очевиден - нет. Ценные сведения украдены, неограниченный круг лиц, среди которых, безусловно, есть конкуренты, их получил, а ущерб так и не был компенсирован. И вроде все молодцы, сработали хорошо, как по учебнику, да, есть недостатки, но все же выхлоп от этого - практически нулевой. Давайте попробуем разобраться, почему так вышло, как этого можно было избежать и самое главное - что в этой ситуации должно быть инцидентом и как правильно нужно реагировать. На рисунке ниже - диаграмма развития инцидента, разбитая на 6 этапов. Полагаю, пояснять их долго не нужно: идея украсть клиентскую базу с целью ее продажи (1), умышленное неподписание документов, переконфигурация сети и увольнение (2), собственно несанкционированный доступ (3), получение данных и размещение объявления о продаже (4) и получение денег (5).


Где же начало инцидента? Очевидно, в кружочке "замысел" - на 1 этапе. Можно ли как-то обнаружить? Безусловно, нет - в голову не залезешь. Однако его можно постараться предотвратить: тщательней отбирать персонал, усиленно беседовать и инструктировать (промывать мозги), наконец - предлагать проверку на детекторе лжи. Дикость? Отнюдь - все больше и больше компаний использует эту практику для ключевого персонала, тем самым отсекая большинство нарушителей еще на первом этапе.

В классической, хорошо выстроенной СУИБ, раннее обнаружение инцидента (напоминаю, что мы рассматриваем прадигму "инцидент = компьютерное преступление") должно автоматически происходить на 2 этапе. В нашем случае отсутствие подписи в документах должна была обнаружить кадровая служба, и если вдруг она это пропустила, то служба ИБ уж точно должна была выявить (например, путем регулярной проверки правильности подписания документов). Если бы в компании была налажена система управления изменениями в ИТ-инфраструктуре, просто так переконфигурировать сеть было бы весьма затруднительно. В идеальном случае - кадровая служба, обнаружив факт отсутствия подписей сразу после возврата документов от сотрудника, добилась бы их подписания и сообщила бы об этом службе ИБ, которая, в свою очередь, должна поставить его деятельность под особый контроль. После увольнения системного администратора, служба ИТ должна была сменить пароли административных учетных записей и провести инструментальную проверку настройки локальной сети предприятия - тем самым уязвимость могла быть обнаружена между 2 и 3 этапом и своевременно устранена. Наконец, если бы существовал мониторинг информационных систем (на худой конец, правильно эксплуатируемая IPS), то инцидент можно было обнаружить на этапе его реализации (3).

Однако если ничего этого нет и в помине - все, что остается - регистрировать инцидент после его окончания и расследовать его как компьютерное преступление (этап 4, в нашем случае дело фактически дошло до 5 этапа). При этом компания должна хотя бы самой себе признаться, что главная задача системы безопасности - предотвращение и профилактика - не выполнена. Конечно, ситуации бывают всякие, и пример этот - лишь один из миллионов вариантов развития событий, но если к обеспечению безопасности подходить не кусочно, а комплексно, то шансов столкнуться с инцидентом по версии Leta будет гораздо меньше, а момент его регистрации будет перенесен на самый ранний этап, и на пути развития инцидента будет возведено несколько защитных барьеров, существенно снижающих вероятность эскалации его до точки "полной G".

пятница, 17 июня 2011 г.

Пришел регулятор ушел


Пока мы с вами, дорогие читатели, сидим со скрещенными пальцами в ожидании второго чтения законопроекта Резника (и, судя по тренду, уйдем в этом состоянии на выходные), в мире происходит очень много интересного, а в Государственной Думе, походу, вообще с цепи сорвались: такой динамики в законодательной деятельности я не наблюдал, пожалуй, аккурат последние четыре года ;) Однако количество совсем не означает качество. Вот, например, Луковчанин прислал интересную заметку относительно принятого 14 июня во втором чтении законопроекта "О национальной платежной системе".

В части 1 статьи 27 этого документа говорится буквально следующее:

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации.

А в части 2 этой же статьи сказано:

Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с защищаемой информацией.

Учитывая, что к защищаемой информации относится и информация о средствах и методах обеспечения ИБ, регулятор, пришедший проверять оператора НПС может, разве что, попить чайку с плюшкой ( той, что на фото постом ниже :) - да и то, если напоят... И если это не досадный "ляп" разработчиков, то складывается очень интересный тренд в развитии регулирования сферы ИБ.

четверг, 16 июня 2011 г.

Карнавала нет


Дорогие читатели, зашедшие по прямой ссылке! К сожалению, все, что здесь написано, уже имеет историческую ценность. Причины указаны здесь и здесь. Однако у нас есть шанс это исправить! Хотите знать как? Посетите эту страницу!

Возвращаясь к теме нового законопроекта, хочется дописать еще несколько строк ( можно, конечно, писать бесконечно, но надо себя сдерживать :).

Читатели спрашивают, что будет с уже действующими подзаконными актами - постановлениями Правительства 781, 687 и иже с ним. Ответ прост - ничего. Именно эти документы устанавливают требования для государственных и муниципальных операторов, согласно ч. 4 ст. 19 законопроекта. Негосударственные операторы вправе использовать их для разработки своих собственных стандартов, а те, кто уже реализовал защиту ИСПДн в соответствие с этими документами, вправе вообще не издавать и не присоединяться к какому-либо стандарту - необходимо только уведомить об этом ФСТЭК до 1 января 2012 года. В противном случае, как я уже говорил,оператор должен присоединиться к какому-либо стандарту или разработать свой собственный, и уведомить об этом ФСТЭК до 1 января 2013 года (ч. 21 и 22 ст. 25).

Ригель отметил некоторую недосказанность, поэтому исправляю недостаток :) Статьей 22 вводится институт Лица, Ответственного За Организацию Обработки Персональных Данных в Организации (ЛОЗООПДвО). В принципе, особой новизны в этом нет - такое лицо должно было быть у оператора и раньше - другое дело, что раньше оно было определено в подзаконных актах, а теперь - на законодательном уровне, с совершенно определенным набором функций и полномочий (например, именно это лицо имеет право обратиться к Уполномоченному за разъяснениями по поводу сомнений в законодательстве).

Изменения вносятся в часть 3 статьи 22, определяющей форму и содержание уведомления оператора, отправляемого последним в уполномоченный орган при начале обработки ПДн. помимо мер защиты и стандартов безопасности, к которому "примкнул" оператор (обратите внимание, что стандартов может быть несколько), в уведомлении вносится ФИО должностного или название юридического лица, ответственного за защиту ПДн. Таким образом, получается, что оператор может заключить договор на аутсорсинг не только на обработку, но и на защиту ПДн (либо на то и на другое вместе).

Что еще... Ах, да. Статья 21 вводит новые сроки уточнения - 7 дней, уничтожения - 10 дней (по достижении целей обработки - 30 дней). Почитаете сами - обратите внимание, когда будете приводить в порядок внутреннюю документацию. Тем более, что читать можно в удобном формате - Александр Бондаренко сделал для этого удобный документ.

Все, завершаю брифинг - если что, пишите в комментарии. И сильно в ладоши не хлопайте - все еще может измениться,  ведь второе (и возможно третье) чтение только завтра, так что скрестили пальцы...

Карнавала не будет


Дорогие читатели, зашедшие по прямой ссылке! К сожалению, все, что здесь написано, уже имеет историческую ценность. Причины указаны здесь и здесь. Однако у нас есть шанс это исправить! Хотите знать как? Посетите эту страницу!

Итак, передо мной будущий закон "О персональных данных". Выгруженная из Консультанта старая редакция с отмеченными карандашом исправлениями. Труд пары часов. Зря или нет - давайте поглядим. Предупреждаю читателей - это всего лишь беглый взгляд на то, что лежит на поверхности, не претендующий на глубинные изыскания: все они еще впереди.

Первое, что сразу бросается в глаза - объяснение того, как закон распространяется на обработку без использования средств автоматизации (п.1 ч. 1 ст. 1): теперь это выражение означает, что закон применим в случае, если на ПДн, содержащиеся на материальном носителе, в картотеках или "иных систематизированных собраниях" можно найти "в соответствии с заданным алгоритмом" ИЛИ получить к ним доступ. Вдумавшись в эту фразу, мы придем к выводу, что она означает буквально следующее: если документы, содержащие ПДн, находятся  не на свалке - значит закон на них распространяется. Зато теперь все понятно с автоматизированной обработкой: пункт 4 статьи 3 однозначно утверждает: есть ЭВМ -  автоматизированная.

Часть 2 статьи 4, по идее, должна отбить охоту издавать "закрытые" документы, вроде 330-го постановления Правительства, содержащие к тому же необоснованные требования, и потом заставлять соблюдать их всех операторов поголовно. Большой плюс, но как это будет выполнено - покажет время.

Пункт 4 части 1 статьи 6 дает нам робкую надежду на признание конклюдентных действий: закон допускает обрабатывать ПДн как для исполнения, так и для заключения договора по инициативе субъекта. Пунктом 6 этой же части/статьи оператору предоставляется возможность вести обработку ПДн для осуществления собственных законных прав и интересов или "третьих лиц" (так, очевидно, решается проблема отзыва согласия субъектом), а в 9-й пункт существенно облегчает жизнь социальным сетям, предоставляя возможность обрабатывать ПДн, сделанные субъектом общедоступными. Учитывая, что 1 пунктом 1-й части 6 статьи идет "согласие субъекта", можно предположить, что все остальные пункты - и 4-й, и 6-й, и 9-й - подразумевают обработку без согласия - иначе ради чего весь сыр-бор.

Части 2-4 статьи 6 посвящены "обработчику" - лицу, обрабатывающему ПДн, но не являющегося оператором в полном смысле, поскольку обработка осуществляется в интересах третьего лица, устанавливающего цели. Не смотря на то, что в самом законе как таковое определение "обработчик" отсутствует, здесь "обработчик" называется ЛООПДППО (см. ч. 3 ст. 6). И к нему, помимо "требований по обеспечению конфиденциальности и безопасности ПДн при их обработке", оператор теперь должен предъявлять еще много чего - например, указать стандарт безопасности, которому должен следовать обработчик (все это указывается в "поручении"). Сам же ЛООПДППО теперь может не брать согласие, если оно получено оператором, и несет ответственность только перед последним: все "косяки", возникшие по вине обработчика, субъекту компенсирует сам оператор.

Статьей 9 определено, что субъект ПДн дает согласие на обработку СВОБОДНО, в любой форме, позволяющей подтвердить факт его получения. При этом, если субъект вдруг решит согласие отозвать, то оператор может преспокойно обрабатывать его ПДн дальше, руководствуясь п. 2-8 ч. 1 ст. 6 (см. абзац выше). Тем не менее, презумпция виновности оператора по прежнему сохраняется: согласно ч. 3, он по прежнему обязан доказывать либо факт получения согласия, либо наличия оснований обрабатывать ПДн, не имея оного, что, в случае конклюдентных действий или свободной формы данного согласия, будет весьма затруднительно. Но и здесь закон приходит нам на помощь: часть 4 ст. 9 говорит о том, что в случаях, предусмотренных федеральным законом, согласие должно быть письменным либо электронным с ЭП. Обратите внимание на формулировку: не НАСТОЯЩИМ федеральным законом, а просто - федеральным законом. Неужели придется шерстить все законы на предмет получения согласия и определять, каким оно должно быть - письменным или любым другим? Ладно, идем дальше.

Пункт 2 части 2 статьи 10, говорящей об обработке специальных категорий ПДн, претерпел изменения: обработка спецкатегорий теперь допускается в случае, если сам субъект сделал свои ПДн общедоступными. Только вот незадача - как же определить, сам ли субъект сделал их общедоступными под ником R2D2 или это кто-то другой?

Статья 11 говорит нам о том, что к биометрическим ПДн теперь относятся сведения, которые характеризуют не только физиологические, но И биологические особенности человека, причем одни без других не могут существовать. Вспоминая пресловутую фотографию, я так и не пойму - может ли она характеризовать физиологические и биологические особенности одновременно? И вообще - что это такое, биологические особенности? Например, по фотографии можно определить, что на ней изображен типичный представитель биологического вида - человек, со всеми свойственными ему особенностями, в том числе и физиологическими. Короче, мертвому припарка.

Статья 12 - трансграничная передача ПДн. Теперь она может осуществляться без согласия в случае, если принимающая страна обеспечивает адекватный уровень защиты прав субъектов. При этом, перечень "адекватных" стран, НЕ являющихся сторонами Конвенции совета Европы (часть 2), утверждает уполномоченный орган. Оператор же, до начала передачи, обязан убедиться в том, что страна "адекватна". Но для того, чтобы ему это сделать, придется поднапрячься: в перчне-то будут только страны, не ратифицировавшие Конвенцию, а те, что ратифицировали, оператор должен отыскать самостоятельно. Да и перечень этот когда издадут - непонятно... Словом, трудности даже в мелочах. ИМХО, в этой статье досадная опечатка: стоило убрать предлог НЕ, и все встало бы на места.

Статья 14 наделяет субъекта правом "повторного запроса" к оператору в случае, если он остался чем-то не доволен. Оно и правильно - раньше-то все бежали сразу в Роскомнадзор. Да и сам оператор теперь должен отвечать в течение 30 дней с момента получения запроса (ч. 1 ст. 20). А вот уведомлять субъекта при получении ПДн не от него самого оператор теперь не обязан в случае, если ПДн уже уведомлен об обработке "соответствующим оператором" (я долго думал, но не мог понять смысла этой фразы), если ПДн были получены при исполнении договора или взяты из общедоступных источников (сделаны общедоступными самим субъектом).

Теперь самое вкусное. Статья 18. В соответствии с частью 1, оператор САМОСТОЯТЕЛЬНО определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей. К числу таких мер МОГУТ, в частности, относиться (смотрим п. 3) применение мер обеспечения безопасности ПДн в соответствии со статьей 19. Итак, меры безопасности, указанные во 2 части 19-й статьи, носят необязательный характер: могут относиться, а могут и нет. По крайней мере, так следует из контекста статьи 18. Но к этому мы еще вернемся.

Частью 2 статьи 18 на оператора возлагается ОБЯЗАННОСТЬ ПУБЛИКОВАНИЯ ПОЛИТИКИ в отношении обработки персональных данных, а также обеспечивать неограниченный доступ к сведениям о реализуемом стандарте или требованиям по обеспечению безопасности ПДн. Это реально большой прорыв в отношениях "субъект-оператор", поскольку позволяет субъекту детально ознакомится с тем, как будут защищаться его ПДн, до их предоставления оператору, и впоследствии получить дополнительные бонусы при разбирательстве в случае, если оператор ввел его в заблуждение (ст. 23 ч. 2 п. 5.1).

Итак, статья 19. В части 1 - сразу второй прорыв: меры применяются с учетом вреда субъекту, а также возможностей их технической реализации. Обалденный маневр для составления модели угроз. Не смотря на нудное начало "включают в себя, в частности", часть 2 ст. 19, как следует из п. 1 и п. 3 ч. 1 статьи 18, носит необязательный характер, однако здесь мы по прежнему наблюдаем "применение методов, способов и СЗИ, прошедших оценку соответствия". Учитывая контекст, речь, очевидно, идет о 58 Приказе ФСТЭК, который будет носить исключительно рекомендательный характер.

Правительство РФ отныне устанавливает требования для государственных и муниципальных ИСПДн (часть 4 ст. 19), однако вправе установить и требования по обеспечению безопасности в негосударственных ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности (часть 5 ст. 19). Что это за виды и кто и каким образом их определяет - пока загадка. К счастью, ФСТЭК и ФСБ будут контролировать только то, что предусмотрено частью 4 статьи 19 - а именно государственные и муниципальные ИСПДн (часть 6). Кто будет контролировать "отдельные ИСПДн" по 5-й части - так же не понятно.

В соответствии с частью 7 статьи 19, операторы, СРО, ассоциации, союзы и все-все-все могут издавать стандарты обеспечения безопасности ПДн. И это еще один большой плюс. Частью 8 статьи 19 определено, что оператор обязан либо присоединиться к какому-либо стандарту, либо издать свой собственный - персональный, для себя любимого. В любом случае, об этом необходимо уведомить ФСТЭК. Порядка уведомления пока, правда, нет (как, собственно, и массы отраслевых стандартов).

Зато, согласно ч. 5 ст. 22, оператор может обратиться в уполномоченный орган (им по прежнему остается Роскомнадзор) за разъяснением по любым (!!!)  вопросам относительно законодательства в области ПДн: это буквально означает, что Роскомнадзор будет единым консультационным центром как по организационным, так и по техническим и вообще любым другим вопросам, и его ответ на вопрос "обязательно ли использовать ли сертифицированные СЗИ в ИСПДн" будет основополагающим. Лишь бы этот ответ был правильный :)

Вот, вкратце, и все, что пока можно сказать. Не то, что многие ожидали: Конвенции закон по прежнему не соответствует, и основные проблемы, указанные здесь и здесь, в нем так и не решены. Тем не менее, это лучше, чем действующий вариант. У кого есть что добавить - пишите в комментариях. Полагаю, сейчас пойдет очередная волна доказывания обязательности исполнения части 2 статьи 19 - так что готовлю доску для серфинга ;)

среда, 15 июня 2011 г.

Скрестили пальцы?


Законопроект Резника вчера был принят во втором чтении. Третье чтение - в ближайшее время, прогноз - положительный. Ждем-с.

Эпс, пардон :) Вот я обрадовался-то :) Второе чтение только назначено - на 17 июня. Так что не был он принят... Только собирается... И, возможно, сразу и в третьем чтении. По указанной выше ссылке доступен текст законопроекта для второго и третьего чтения.

пятница, 10 июня 2011 г.

Casual People


Читая присланную по почте (как выступающему) программу 4 межотраслевого форума директоров по информационной безопасности с пометкой "строго конфиденциально" (хотя на сайте висела практически такая же), я (как слушатель), не мог ею не восторгаться: госдума, регуляторы, практическая тематика, многочисленные case-study - все это обещало быть весьма и весьма вкусным пирогом, а наличие гала-приема на теплоходе делало этот пирог со сливками и вишенкой сверху. Для меня, как для провинциала, это событие обещало быть очень интересным еще и потому, что наконец-то предоставился шанс лично встретиться со столичными "звездами" отрасли, практически в самой "гуще" событий и в условиях высокой "звездной" концентрации. По большей части, предчувствия не обманули, "минусов" было немного, но все же не сказать о них будет не честно.

Возможно, у меня сформировались некие ложные ожидания от превосходно-соблазнительно составленной программы форума, однако в реальности все выглядело несколько иначе. Кроме ФСБ, регуляторов не было и в помине. Представители ФСБ сделали проходной доклад на абстрактную тему, сообщили о создании центра киберпреступности с почтовым адресом cybercrime@fsb.ru (на который можно писать без гарантий получить ответ), а на вопрос об отношении ФСБ к технологиям виртуализации был получен ответ о том, что (приблизительно) "говорить на эту тему нас не уполномачивали, нормативов нет, но существующие требования безопасности должны быть там соблюдены". Зато реально, по делу, сказала Елена Волчинская - зал слушал ее в полной тишине и с большим интересом.

Около 15% заявленных тем не прозвучало вообще - видимо, отсутствовали докладчики. Практически все заявленные case-study представляли собой "галоп по европам", из-за чего складывалось ощущение, что case не было вообще, а study - стрельба горохом по воробьям. Исключение составлял мастер-класс А.Лукацкого и выступление А.Яковлева но, в связи с жесточайше ограниченным временем, задавать вопросы было некогда, и поэтому все вопрошающие отсылались на "кулуарное общение".

И вот дальше пойдут дифирамбы. Прежде всего организаторам форума - компании "Инфор-Медиа" - и именно за "кулуарное общение": в созданной ими атмосфере "поймать звезду за хвост" было просто, и разговорить - легко. Было все, что нужно, и даже больше, и поэтому указанные недостатки, возникшие не по вине организаторов, легко сглаживались теплотой приема. Похвалю и охотно шедших на контакт "звезд" - без пафоса, без пальцев, амбиций и проблем общавшихся со всеми участниками форума. Вообще, провинциальным ИБ-шникам, полагающим, что "звезды" - известные столичные специалисты - чем-то отличаются от остальных, хочу сказать, что все они - совершенно обычные люди, такие же, как и мы с вами.

В целом, форум по пятибалльной шкале заслуживает оценки 5 за организацию и 4 за полезность и содержательность. Как вторую оценку "подтянуть" - сказал Евгений Царев в своем блоге: программному комитету нужно тщательнее подходить к вопросу выбора докладчиков. Хотя, если честно, для меня, как для провинциала, форум директоров по ИБ был одним из лучших тематических мероприятий из всех, что мне довелось посетить. Наверно поэтому на форуме я написал заявление на прием меня в Межрегиональную общественную организацию «Ассоциация руководителей служб информационной безопасности» АРСИБ, под эгидой которой проходил форум. Интересно, примут? :)

На форуме я показывал презентацию на тему "Мобильный доступ и проблемы безопасности". На этот раз выбрал другую концепцию доклада: на слайдах - минимум текста, поэтому много рассказывал. Рассказ опубликовать (пока) не могу, но презентацию выкладываю - вдруг кому пригодится.

Смотреть другие презентации Алексея Волкова
Отзывы о форуме в блогах коллег: Алексей Лукацкий, Евгений Царев.

вторник, 7 июня 2011 г.

Как измерить неизмеримое


Не так давно Алексей Лукацкий в своем блоге предлагал рассмотреть возможность использования метода Монте-Карло для оценки вероятности положительной (успешной) реализации ИБ-проекта. В комментариях народ (в том числе и я) сильно сомневался в возможности применения такой методики, однако подсознательное чувство того, что Лукацкий пишет не зря, не давало мне покоя. И вот сегодня товарищ прислал мне ссылочку на весьма прелюбопытный труд: это книга Дугласа Хаббарда "Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе" (официальный сайт этой книги здесь).

Автор книги считает, что существуют всего три главные причины тому, что информация имеет свою стоимость для бизнеса:
  1. Информация снижает неопределенность в связи с решениями, имеющими экономические последствия.
  2. Она влияет на поведение людей, и это также имеет экономические последствия.
  3. Иногда информация сама обладает собственной рыночной стоимостью.
Объяснение первой причины из трех перечисленных выше было известно с 1950-х годов: оно было обосновано в математической теории принятия решений — разделе теории игр, куда определенным образом относится и метод Монте-Карло. Именно сокращению неопределенности автор уделяет основное внимание, главным образом потому, что оно наиболее актуально для обычных условий, и потому, что две другие причины, по его мнению, несколько проще, потому как стоимость информации, влияющей на поведение людей, просто равна стоимости разницы в их поведении. Если измерение результатов деятельности дает рост производительности труда 20%, то денежное выражение роста производительности и есть стоимость измерения. А если стоимость информации является ее рыночной стоимостью, то перед нами проблема рыночного прогноза, ничем не отличающаяся от оценки продаж любого другого продукта. Если мы собираем информацию об интенсивности движения на городских перекрестках в разное время дня, чтобы продать ее компаниям, ищущим подходящие места для размещения розничных магазинов, то стоимость таких измерений равняется ожидаемой прибыли от продажи этих данных. Однако чаще всего в бизнесе производят измерения потому, что они хотя бы частично связаны с принятием решений.

Здесь размещена статья (глава) этой книги, как раз посвященная оценки стоимости информации на основе измерений, а вот здесь Вы можете скачать подробный калькулятор на базе Excel для определения стоимости информации с примерами из этой книги (требуется регистрация). Как и книга Р.Рейли и Р.Шварца "Оценка нематериальных активов", труд весьма интересен и, к тому же, достаточно "задорно" написан, а потому - однозначно достоен прочтения. Комментарии прочитавших (хотя бы главу) прошу в этот пост - пообсуждаем, подискутируем :)

пятница, 3 июня 2011 г.

Поручено Президентом


Читатель блога прислал ссылочку на новость, размещенную на сайте Президента России. В ней сообщается о том, что Дмитрий Медведев подписал перечень поручений по итогам встречи с представителями интернет-сообщества, состоявшейся 29 апреля в Москве. Наибольший интерес представляет поручение под номером 5:

Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.

Комментарий А.Дворковича по этому поводу выглядит следующим образом:

Основная идея заключается в минимизации необоснованных обременении при одновременном использовании технологических решений, позволяющих эффективно решать все необходимые задачи.

На встрече Президента с представителями интернет-сообщества было сказано очень много интересных мыслей - рекомендую всем почитать. Здесь приведу одно из высказываний Президента относительно персональных данных:

"... тема эта очень щепетильная, причём щепетильная она для всех: и для обычных пользователей, и вообще для всех, кто так или иначе свои персональные данные или скрывает, или разглашает, и для государственных структур, которые при любой возможности стараются эту сферу зарегулировать. Надо признаться, у нас охранительные представления очень сильны, они просто впитаны, что называется, с молоком матери. И любой государственный орган, даже весьма либерально настроенный, всё равно занимает охранительную позицию. Поэтому переломить их будет очень непросто. При этом никто не отменял понятие государственной тайны. Вопрос только в том, как она интерпретируется и каким образом она действует в той же самой сети, действует ли вообще..." 

Из всего этого можно сделать два вывода. Во-первых, "охранительным структурам" (в весьма странном составе) поручено снова поучаствовать в разработке новой версии закона о персональных данных и побороться с либералами в лице г-на Щеголева. Поскольку первых большинство, есть очень большая вероятность растаптывания либерального флага ногой в кирзаче: все существующие "обременения", по мнению регуляторов, являются обоснованными. Во-вторых, некоторое недоумение вызывает срок исполнения поручения - существующий закон вступит в полную силу 1 июля этого года, а о втором чтении законопроекта Резника ни слуху, ни духу: неужели предстоит еще один перенос сроков?

В любом случае - до 1 августа, и тем более до 1 июля ждать совсем не долго. И поэтому, как говорил один киногерой, если точно знаешь, что что-то должно произойти, не надо этого ждать, не надо даже хотеть, чтобы это произошло: просто смотри - и оно случится. Применительно к данному случаю, доподлинно не известно, что именно должно случиться, но теперь уже ничего другого, кроме как просто смотреть, нам с вами не остается.

четверг, 2 июня 2011 г.

Действительное за желаемое


Опубликованные в СМИ журналистские труды надо если не фильтровать, то читать с определенной долей скептицизма. Это правило, применимое, кстати, и к видеорепортажам, известно всем и каждому, но в последнее время такая тенденция все больше касается "топовых", уважаемых изданий. Вот, например, сегодня на сайте Компьюленты была опубликована достаточно развернутая для их формата заметка о том, что систему шифрования SKYPE можно и сломать, и обойти.

Корреспондент Николай Третьяков как бы "открывает" читателям то, что доселе от них должно было быть сокрыто: оказывается, путем установки на ПК со Skype шпионского ПО возможно не только перехватить весь трафик Skype, но и взломать другие аккаунты, использующие шифрование  (Gmail, Hotmail, Yahoo). Оказывается, очень многие западные фирмы продают специализированное ПО для этих целей, и это ПО даже способно блокировать Skype на уровне всей страны! И даже какие-то итальянцы уже взломали шифр, используемый в Skype.

Про взлом шифра, конечно, "заливное", но в остальном - эка невидаль, правда? Что мы, мало с таким ПО в других ипостасях сталкиваемся? И для Skype ПО у нас есть свое - тот же SearchInform работает по такой же схеме. Но есть один интересный момент, о котором стоит упомянуть в свете недавнего скандала вокруг Skype, инициированного ФСБ. В 2004 году власти КНР пустили Skype на китайский рынок только в рамках партнёрства с гонконгской компанией TOM Online, которая была аффилирована китайскими спецслужбами и по сей день занимается фильтрацией Skype-переговоров и вымарыванием «неправильных» слова из чата. Сама Skype в заявлении по этому поводу указала, что обязана подчиняться местным законам и «допускает, что сообщения, посланные пользователю TOM-Skype в КНР или отправленные им, могут перехватываться и архивироваться».

В России законы в области криптографии и связи столь же суровы - в рамках системы оперативно-розыскных мероприятий (СОРМ) все операторы обязаны предоставить спецслужбам возможность доступа к абонентским данным и трафику (чего уж говорить про криптографию). И оказывается, от Skype можно было потребовать соблюдения этих требований - китайцы-то смогли! Но нашим спецслужбам что-то, видимо, помешало это сделать вовремя - и теперь им приходится только лаять на идущий караван.