четверг, 22 ноября 2012 г.

Состав и содержание


В ожидании документа от ФСТЭК, перечитал еще раз информационное сообщение и заглянул с утра в любимый всеми нами Закон, на который оно ссылается. Если переписать ч. 4 ст. 19 по-русски, получится:

Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий устанавливаются состав и содержание:

необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности

(здесь по тексту идет запятая, разделяющая части сложносочиненного предложения)

организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

среда, 21 ноября 2012 г.

Готовьтесь к работе, заинтересованные лица!


Дорогие друзья! Вынужден, не без радости, прервать этим постом серию публикаций про DLP, ради неплохого, в общем, известия. Сегодня на сайте ФСТЭК РФ размещено информационное сообщение за номером 240/24/4669 от вчерашнего дня, которое я, честно сказать, никак не ожидал. В нем, помимо многих других интересных вещей (включая преемственность) говорится, дословно:

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля
2006 г. № 152-ФЗ «О персональных данных» и Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, ФСТЭК России завершается работа по подготовке проекта нормативного правового акта, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Проект указанного нормативного правового акта планируется до 7 декабря 2012 г. разместить на официальном сайте ФСТЭК России www.fstec.ru для рассмотрения заинтересованными лицами.

Лично я считаю и сам факт выхода такого сообщения, и намерение (боюсь сказать желание) ФСТЭК принимать замечания от "заинтересованных лиц" по поводу традиционно "кулуарной" области серьезным шагом навстречу экспертному сообществу. Пока не могу предположить (потому что боюсь сглазить), насколько конструктивным окажется диалог - но я готов работать. Призываю всех, кто располагает минимальным, но свободным временем, отыскать в себе желание прочитать документ и найти в нем хотя бы один момент, который Вас, как эксперта, не устраивает, коротко и конструктивно обосновать, почему, и направить Ваше обращение во ФСТЭК по указанному в будущем сообщении адресу электронной почты. Это не займет у Вас много времени и сил, но, возможно, сыграет огромную роль в становлении конструктивного диалога экспертного сообщества с регулятором.

Главная просьба - делайте все публично. Все замечания оформляйте в виде файлов и выкладывайте их куда-нибудь, где остальные могут их прочитать. Не критикуйте друг друга, не бойтесь делать ошибки, повторяться и выглядеть непрофессионально: не ошибается тот, кто ничего не делает. Ссылки на ваши замечания размещайте у себя в блогах или, в виде комментариев, здесь или в блогах коллег.

Давайте покажем, что нам не наплевать. А после выхода документа "всем миром" проанализируем, насколько велик оказался наш вклад в его разработку и сделаем вывод, подкрепленный практикой, о том, стоит или нет верить подобным "заманухам" от госструктур.

четверг, 15 ноября 2012 г.

Почему я не люблю DLP: причина вторая.


В предыдущем посте с почти аналогичным названием я поведал вам, дорогие читатели, о первой причине своего скептического отношения к термину DLP: техническое решение, позиционируемое как средство предотвращения утечек данных, попадая в "боевые" условия перестает быть таковым. Максимум, что оно сможет делать - выявлять эти самые утечки, то есть эксплуатироваться в качестве DLD ("дылды"). С другой стороны, если рассматривать развертывание "дылды" как технического средства в составе DLP как системы (то есть "комплекса организационных мер и технических средств ...") - задача выглядит совсем иначе. Стоимость такого внедрения возрастает в разы, и ждать моментального эффекта от внедрения не приходится но, если у потребителя есть долгосрочные планы по снижению рисков, связанных с утечками данных, до приемлемого уровня - он может и потерпеть.

Естественно, вследствие оптимизации процессов обработки информации уменьшится количество потенциальных каналов утечки  - соответственно, сократится и число "алертов", с усердием выдаваемых "на-гора" средствами мониторинга. Тем не менее, "дылда", как была "детектором утечек" так им и останется, информация продолжит "уходить", а основным звеном, принимающим решения относительно наличия и отсутствия факта утечки, станет наш с вами коллега-"безопасник", эти "алерты" мониторящий. В этом случае техническое средство будет, с одной стороны, незаменимым помощником "безопаснику". А вот с другой стороны, это же самое техническое средство станет представлять определенную опасность для владельца - того, чью, собственно, информацию "безопасник" и пытается защитить.

Как влияет DLP на "приемлемый уровень" из первого абзаца, и по каким причинам безопасник, вооруженный "дылдой", становится угрозой владельцу - об этом поговорим сегодня. Но сначала - вернемся в офис той самой компании, в гости к двум "дружбанам".

четверг, 1 ноября 2012 г.

Почему я не люблю DLP: причина первая.


На самом деле, я давно написал статью с похожим названием, но побаивался ее публиковать - слишком уж откровенной она получилась. Потому что ситуация, связанная с реальным, практическим применением "этих" средств, ассоциируется с каким-то "тайным грехом": все делали, делают или втайне помышляют об "этом", многим "это" понравилось и они хотят продолжать и разнообразить свои занятия, кое-кто даже делится впечатлениями с очень-очень близкими друзьями. Все без исключения знают, что "это" происходит где-то и с кем-то круглосуточно, включая данный конкретный момент времени, но практически никто об "этом" в открытую не говорит. Практически - потому, что  занятие "этим", по понятным причинам, не приносит обоюдного удовольствия действующим лицам: всегда счастлива только одна сторона.

Разработчики "этих" средств охотно выступают в роли специализированных тематических магазинов, охотно предлагающих предающимся "тайному греху" согражданам удивительные "штуки" любого функционала и масштаба,охотно рекламируя их внешний вид и возможности, причем делают это в открытую, никого не стесняясь. Оно и понятно - инструмент есть инструмент: выглядит привлекательно и умеет вызывать огоньки возбуждения в глазах потенциальных потребителей.

Именно поэтому я несколько раз начинал, прекращал, переписывал отдельные части, удалял и менял формулировки. Потом на пару месяцев бросил, затем снова перечитал и, как говорится, понял - дабы никоим образом не обидеть ни тех, кто "этим" реально занимается, ни тех, кто "это" продает, "ровно половину слов надо вырезать": и я переписал ее "с нуля". Я ни в коей мере не претендую на роль критика, не собираюсь делать никаких разоблачающих выводов, равно как изобличать кого-то в нарушении Конституции или аморальном поведении. Все, что написано - это личные впечатления автора блога, все примеры взяты из его собственной головы, а любое сходство с реальными людьми является случайным (так что если кто-то вдруг узнает себя - знайте, что это не так).