среда, 27 июня 2012 г.

Семинар ГлобалТраст по ПДн


Посетил сегодня семинар Global Trust Solutions по ПДн, на котором как обычно законспектировал интересные для себя моменты. 

Теперь идем по порядку.


Астахов Глобал Траст
В РКН 230 проверяющих, всего у них зарегистрировано 230 тыс. компаний – операторов ПДн. Если в проверках будет задействовано по 1 проверяющему, то проверки займут 1000 дней или 3 года. Если по 2, то 6 лет и т.д. То есть вероятность проверки  незначительная. Однако, скорее всего, проверок не избежать крупным, известным и работающим на рынках с высокой конкуренцией. Более того, сейчас всё чаще обычные люди пишут в РКН письма, по которым РКН обязан отреагировать, и часто это является поводом для проверки.
ФСБ чаще всего обращает внимание на следующие нарушения:
·         неправильное хранение СКЗИ;
·         использование несертифицированных СКЗИ;
·         не назначены ответственные на разных этапах процессов;
ФСТЭК чаще всего обращает внимание на следующие нарушения:
·         МУ формальна и за ней ничего не стоит;
·         использование несертифицированных СЗИ;
·         нет описания СЗПДн
И это всё ещё не говоря о технической стороне защиты.
Штрафы до сих пор по 5-10 тыс. Однако, есть тенденция к кратному их повышению.
По трансграничной передаче ПДн:
·         Если страна ратифицировала Конвенцию Совета Европы или входит в список стран РКН с адекватной защитой, можно передавать ПДн, но в соответствии с Законом.
·         Если нет, то нужно брать письменное согласие.
При такой передаче желательно использовать сертифицированные СКЗИ. Но есть риторический вопрос, сертифицированные в чьей стране? (Обоих? А может сделать туннель в туннеле?)
Три кита: лицензирование, сертификация и аттестация.
По лицензированию: если защита строится для собственных нужд, то лицензия не нужна. Это позиция всё еще спорна.
По сертификации: в 152-ФЗ говорится, что нужно использовать сертифицированные (прошедшие оценку соответствия) СЗИ. Всё остальное - это подзаконные акты и они не могут противоречить закону. Кто-то из ФСТЭК говорит что нужно, кто-то что нет. Ничего странного в этом нет, т.к. одна из функций ФСТЭК это консалтинг.
Про аттестацию: для коммерческих компаний она носит добровольный характер, для госов вопрос всё ещё обсуждаемый.
Минимизация класса ИСПДн. Считается, что чем ниже класс ИСПДн, то на проект защиты ПДн уйдет меньше средств. Это не верно, т.к. отличия между классами минимальны.
Некоторые делят БД на части и говорят, что теперь получилась ИСПДн более низкого класса.
Некоторые подписывают каждое окно программы словом «Архив» и говорят, что у них всё в архиве, а это не подпадает под 152-ФЗ.
Раньше благодаря двусмысленности формулировки в 687-ПП автоматизированную обработку ПДн пытались сводить к неавтоматизированной.
Фактически К4 это не ПДн, т.к. по ним невозможно идентифицировать субъекта. Однако, часто даже для обезличенных ПДн важна целостность и иногда доступность.
С точки зрения защиты К3 и К2 почти не отличаются, поэтому сейчас на рынке почти нет СЗИ с сертификатом на К3.
Между К2 и К1 есть всего два отличия: защита акустических каналов – по сути  это бред и наличие 4 уровня НДВ. Чтобы получить 4 НДВ, нужно передать исходные коды для анализа, а это просто сделать российскому производителю и сложно иностранному.
Уровни защищенности это надстройка над классами.


Чернышева Журнал про ПДн
(было очень вялое, не информативное выступление о том, что не нужно бояться вывешивать Политику обработки ПДн на своём сайте)


Чугунов Алладин
Плюсы новой редакции закона о ПДн:
·         появились условия обработки без согласий;
·         понятие «оператор» стало более правильным;
·         определение «неавтоматизированная обработка» стало однозначным по сравнению с определением из 687-ПП;
·         оператор вправе сам определять, как он будет защищать ПДн;
·         введено новое понятие «оценка вреда» для случаев нарушения требований закона;
·         присутствует конкретный перечень мер защиты.
На сегодня есть только одна форма оценки соответствия в ФСБ и ФСТЭК – это сертификация СЗИ.
Если у организации нет конкретных, то есть прописанных кем-то для неё требований по защите технических каналов, то такая защита не требуется.


Мороз Аладдин \ Дукреева Газинформсервис
(только перечислили СЗИ, которые они продают)


Сытник Search Inform
В 152-ФЗ есть несколько фрагментов фраз, из которых следует необходимость DLP.
Лет 5 назад считалось, что нужно технически закрывать все мыслимые и не мыслимые каналы потенциальных утечек информации.
Сейчас же считается, что запрещать всё это не нужно, а нужно уметь контролировать их.
Есть разные методы поиска данных:
·         поиск по словам – метод не подходит для ПДн;
·         поиск по регулярным выражениям – метод работает;
·         поиск похожих документов – метод работает.
Важно контролироваться почту (включая web), ICQ, Skype, чаты, блоги, социальные сети. Также IP-телефонию, MS Link, печать документов, делать теневое копирование документов и скриншоты с рабочих ПК.
Важно парсить графические файлы, т.к. в них могут быть сканы документов, нужно что-то делать с запароленными архивами.
Для защиты ноутбуков есть off-line агент, который локально собирает информацию, а при подключении к сети передает информацию на сервер управления.
Нестандартные применения DLP:
·         средство в контексте непрерывности бизнеса. DLP может архивировать информацию и в случае недоступности исходных сервисов, информация для бизнес процесса возьмется из архивов DLP;
·         средство для исследования настроений коллектива и отдельных сотрудников.


Выводы
В общем и целом семинар мне понравился, мне удалось на нём позавтракать и пообедать. В конце семинара для того, чтобы расшевелить мрачную и спящую аудиторию организаторам пришлось начать дарить книги по анализу рисков. После первой книги количество активно задающих вопросы, стало на порядок больше.

вторник, 26 июня 2012 г.

Анализ Указания ЦБ 2831-У в части отчетности по инцидентам – форма 0403203


Вначале нужно определить область действия и конкретно перечислить все ИС, включая оборудование, которое подпадает под действие 161-ФЗ. В любом банке это должны быть АБС, ДБО, Интернет-Банк, системы быстрых переводов денег, у кого-то процессинг, а также работающий с ними со всеми персонал и их ПК.

Указание вступает в действие 1 июля, следовательно, первый отчет в ЦБ нужно отправить до 10 августа за июль.

Первое, что нужно сделать - это начать мониторить работоспособность всех основных серверов, без которых невозможна работа указанных ИС. Если сбой в них привел к нарушению в предоставлении услуг, это нужно фиксировать инцидент.

Далее нужно категоризировать инциденты по следующим типам:

  • воздействия вирусов, т.е. на все системы должен быть установлен антивирус, а также должен  быть сбор логов с них;
  • любые другие воздействия, т.е. также важно собирать логи со всех систем, чтобы можно было оперативно проводить анализ случившегося;
  • компрометация ЭЦП и ключей шифрования – скорее всего только после аналогичных заявлений клиентов или партнеров;
  • антифрод по лицам и реквизитам платежных документов, причем этот антифрод должен работать не только в ДБО, но и во всех остальных ИС – единственный затратный пункт программы.

Разумеется, только регистрации инцидентов не достаточно, нужно проводить их расследования, хотя бы в части действий по устранению их последствий.

В качестве отчетности в ЦБ, скорее всего, будут отправляться пустые формы, т.к. в России не принято выносить ссор из избы, кроме случаев, когда были факты обращения в правоохранительные органы.

суббота, 9 июня 2012 г.

Куда бежать банкам

Данным постом я хочу предложить разные точки зрения, которые могут иметь место в банковской среде относительно того, что делать или не делать банкам в связи с набиранием оборотов закона «О национальной платежной системе».

Как уже все знают, только что вышли в свет проекты Положения и Указания ЦБ, которые при хорошем стечении обстоятельств могут быть приняты уже летом. Из текста документов следует, что они уже согласованы регуляторами и могут быть опубликованы в Вестнике Банка России» уже в июле. Нужно ли что-нибудь делать Банкам в этой связи или нужно по-прежнему ждать?

С точки зрения ИБ для Банка в той или иной части применимо законодательство о ПДн (152-ФЗ и ниже), Стандарт безопасности Банка России (пакет документов СТО БР ИББС). Теперь к этому списку добавляется Закон о национальной платежной системе (161-ФЗ) и документы «прикладного» уровня (документы ЦБ). Так что же нужно делать рядовому банку, в какую сторону начинать бежать? Хочу рассмотреть три точки зрения, какая из них более правильная, попрошу оценить экспертное сообщество:

• Игнорировать 152-ФЗ, принять СТО БР, игнорировать 161-ФЗ

• Применить 152-ФЗ, игнорировать СТО БР, применить 161-ФЗ

• Применить 152-ФЗ, игнорировать 161-ФЗ, игнорировать СТО БР

Здесь я сознательно не уделяю внимание стандарту PCI DSS по классической причине – отсутствие его обязательности по причине отсутствия реальной ответственности перед кем бы то ни было.

Теперь я хочу прокомментировать каждый из сценариев:

1) Пожалуй, самый распространенный путь для банка это принятие СТО БР. Большое число банков уже приняли этот стандарт, и потихоньку начали приведение своих ИС и процессов в соответствии с ним. Известно, что сам по себе СТО БР носит рекомендательный характер и скорее всего таким и останется. Уж не знаю, по какой причине так происходит, но ЦБ никак не может его сделать обязательным для исполнения. Может быть дело в том, что в ЦБ понимают, что подавляющее большинство банков не смогут в обозримом будущем достичь реального показателя ИБ, заложенного в нем. Если СТО БР в банке официально принят, то на законодательство по ПДн, пусть и с некоторыми оговорками, можно не ориентироваться.

2) Другой путь - это следование законодательству РФ в части ПДн по той причине, что «вертикаль власти», а именно Федеральный закон, Постановления Правительства и т.д. всегда имеют приоритет по сравнению с отраслевыми стандартами, которые к тому же не должны противоречить первым. Плюс этого подхода ещё и в том, что под любое изменение законодательства проще подстроиться, выполняя основополагающие требования, а не их производные. Что же касается законодательства о НПС, то в любом случае все ИС, которые присутствуют в банке, это уже ИСПДн. К тому же механизмы защиты, предлагаемые к реализации ЦБ, очень хорошо коррелируют со СТО БР.

3) Последний путь основывается на утверждении о том, что практически любой банк не имеет в своем распоряжении никаких платежный систем. Список платежных систем весьма широк, но большинство из них либо международные, либо не принадлежат банкам. В отделениях банков имеются лишь рабочие места, связанные с данными платежными системами. Это наиболее формальный подход, согласно которому банк занимает выжидательную позицию в вопросах ИБ и начинает выполнять требования ЦБ и платежных систем по мере поступлений. В вопросах защиты платежных систем, также как и в предыдущем сценарии, банк может руководствоваться общими требованиями законодательства о ПДн.

среда, 6 июня 2012 г.

О Триколор ТВ

Давно обращаю внимание, что количество установленных тарелок спутникового телевидения растет не по дням, а по часам. Вот и я решил приобщиться к новым технологиям. Мой выбор пал на Триколор ТВ, т.к. условия компании «НСК» оказались самыми демократичными. Их тарелки были мною обнаружены на каждом третьем загородном доме. Подключил – начал радоваться!
Через пару недель приходит SMS, содержащая текст: «Для завершения регистрации просим Вас внести свои персональные данные в анкету <имя> на сайте ». Лезу на их сайт и вижу, что они запрашивают следующие обязательные ПДн: ФИО, регион, место установки, мобильный телефон. Разумеется, никакого HTTPS нет и в помине.

Известно, что ранее в 2010 году была успешная атака на их сайт, на их базу. Здесь говорится, что данная компания повысила меры безопасности. Прошло 2 года, однако банального шифрования канала так и нет.

Ссылку на этот пост, отправил в Триколор ТВ в качестве отзыва для принятия мер.

И получил ответ: