Облачная политика

На рынке уже присутствуют  следующие облачные сервисы ИБ (раньше подумать об этом было даже страшно): антивирус/антиспам, DLP, оценка рисков/самооценка, управление инцидентами, DDoS и даже антифрод! Их количество продолжает расти, поэтому необходимость такой политики существенно возрастает.

1.       Общее

1.1. Виды облаков:

-        корпоративное (собственное)

-        коммерческое (чужая компания)

-        общественное (социальные сети)

1.2. Виды инфраструктур

-        инфраструктура как услуга;

-        платформа как услуга;

-        ПО как услуга.

2.       Поставщики услуг

2.1. Проведение анализа рисков

2.2. Виды рисков

-        операционный;

-        правовой;

-        репутационный;

-        стратегический;

-        риск ликвидности.

2.3. Выбор поставщика услуг

3.       Передаваемые сервисы

3.1. Критерии по типам информации:

-        общедоступная;

-         внутренняя;

-        конфиденциальная;

3.2. Критерии по уровням ущербов:

-        потеря конфиденциальности;

-        потеря доступности;

-        потеря целостности.

3.3. По экономике процесса:

-        стоимость  развертывания;

-        стоимость эксплуатации;

-        стоимость модернизации;

-        стоимость уничтожения.

3.4. Выбор подходящего вида сервиса и облака.

4.       Информационная безопасность

4.1. «Обычные» меры:

-        аутентификация;

-        группы доступа;

-        шифрование канала;

-        логирование;

4.2. Непрерывность бизнеса

-        резервное копирование;

-        резервирование канала;

-        резервирование сервиса.

5.       Заключение договора

5.1. Сроки

5.2. Конфиденциальность

5.3. Информационная безопасность

5.4. Ответственность

6.       Контроль работы сервиса

6.1. Метрики

-        доступность;

-        загрузка канала.

6.2. Ответственность.

Телефон это уже не ПДн

Сейчас мобильный телефон всё чаще применяется для подтверждения определенных действий пользователя путем SMS-оповещений. Чаще всего это интернет банки и социальные сети. Если передача телефона банку не вызывает никаких возражений, то передача телефона социальным сетям часто вызывает как минимум недоумение. Посмотрим на самые популярные в России социальные сети:

Социальная сеть	Привязка к телефону
ВКонтакте (Vkontakte.ru)	Есть
Одноклассники (Odnoklassniki.ru)	Есть
Мой мир (Mail.ru)	Есть
Фейсбук (Facebook.com)	Есть
Твиттер (Twitter.com)	Есть
ЛинкедИн (Linkedin.com)	Нет

Де-факто это уже так. Если вам это не нравится, не привязывайте свой телефон там, где это ещё возможно или купите себе аппарат с двумя SIM-картами. В конце концов, держите второй телефон всегда выключенным и включайте только по необходимости.

Велобайк

Обратил внимание на некоторые «особенности» обработки персональных данных, с которыми можно столкнуться, зайдя на прокатный велосайт, который начало пиарить Правительство Москвы в целях ликвидации, наверное, всё тех же пробок.

Сам процесс незатейлив:

1)      Регистрируешься на их сайте

2)      Передаешь им свои ПДн

3)      Получаешь по SMS логин и пароль для входа в личный кабинет

4)      Оплачиваешь деньги за тариф

5)      Идешь кататься.

Привожу фрагменты из договора:

Арендатор даёт согласие Арендодателю на обработку в течение срока действия Договора, а также в течение срока архивного хранения договорной документации Арендодателем, своих персональных данных.

Согласие предоставляется Арендатором в целях исполнения Договора, в том числе для получения оповещений о ____________________, на срок до достижения цели обработки персональных данных Арендатора.

Какой срок хранения архивной документации? 1 год? 100 лет?

О чем будут приходить оповещения? О новых услугах? Другая сторонняя реклама?

Список передаваемых ПДн безо всякого HTTPS выглядит следующим образом:

o   Фамилия, Имя, Отчество

o   Дата рождения

o   Язык

o   E-mail

o   Мобильный телефон,  два обычных телефона

o   Страна, индекс, область, город, улица.

Конечно, после этого следует переход на сервис банка Москвы, где с использованием 3D Secure производится оплата.

Еще из странного заметил, что после ввода ошибочных платежных данных, при оплате баланс в личном кабинете меняется на сумму со знаком минус.

Приказ 17 ФСТЭК о защите Госов

Прошло «всего» 3.5 месяца между подписанием Приказа и его регистрацией в Минюсте. Видимо был нарушен тот же кислотно-щелочной баланс организационно-бюрократический механизм регистрации.

Пункт 1 Приказа гласит «Утвердить прилагаемые Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Пункт 3 Общих положений гласит «Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации».

Для этого перечня ГИС меры защиты идут отдельным, но закрытым блоком?

Далее определяются Класс и Уровень защищенности:

1) Класс защищенности (К) = [уровень значимости информации; масштаб системы].

2) УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)].

Всё это можно свести к тому, что Класс защищенности это функция от степени ущерба по свойству информации и масштаба системы.

Напомню, что в «классическом» варианте Уровень защищенности это функция от типа ПДн, количества ПДн и типа угроз.

Если сравнивать таблицы с мерами из Приказов 21 и 17, то они несколько отличаются, как составом мер, так и их применимости в зависимости от классов.