Посетил сегодня
семинар Global Trust Solutions по ПДн, на котором как обычно законспектировал интересные
для себя моменты.
Теперь идем по порядку.
Астахов Глобал Траст
В РКН 230
проверяющих, всего у них зарегистрировано 230 тыс. компаний – операторов ПДн.
Если в проверках будет задействовано по 1 проверяющему, то проверки займут 1000
дней или 3 года. Если по 2, то 6 лет и т.д. То есть вероятность проверки незначительная. Однако, скорее всего,
проверок не избежать крупным, известным и работающим на рынках с высокой
конкуренцией. Более того, сейчас всё чаще обычные люди пишут в РКН письма, по
которым РКН обязан отреагировать, и часто это является поводом для проверки.
ФСБ чаще всего
обращает внимание на следующие нарушения:
·
неправильное хранение СКЗИ;
·
использование несертифицированных СКЗИ;
·
не назначены ответственные на разных этапах
процессов;
ФСТЭК чаще
всего обращает внимание на следующие нарушения:
·
МУ формальна и за ней ничего не стоит;
·
использование несертифицированных СЗИ;
·
нет описания СЗПДн
И это всё ещё не говоря о
технической стороне защиты.
Штрафы до сих пор по 5-10 тыс.
Однако, есть тенденция к кратному их повышению.
По
трансграничной передаче ПДн:
·
Если страна ратифицировала Конвенцию Совета
Европы или входит в список стран РКН с адекватной защитой, можно передавать
ПДн, но в соответствии с Законом.
·
Если нет, то нужно брать письменное согласие.
При такой
передаче желательно использовать сертифицированные СКЗИ. Но есть риторический
вопрос, сертифицированные в чьей стране? (Обоих? А может сделать туннель в
туннеле?)
Три кита:
лицензирование, сертификация и аттестация.
По
лицензированию: если защита строится для собственных нужд, то лицензия не
нужна. Это позиция всё еще спорна.
По
сертификации: в 152-ФЗ говорится, что нужно использовать сертифицированные
(прошедшие оценку соответствия) СЗИ. Всё остальное - это подзаконные акты и они
не могут противоречить закону. Кто-то из ФСТЭК говорит что нужно, кто-то что
нет. Ничего странного в этом нет, т.к. одна из функций ФСТЭК это консалтинг.
Про
аттестацию: для коммерческих компаний она носит добровольный характер, для
госов вопрос всё ещё обсуждаемый.
Минимизация
класса ИСПДн. Считается, что чем ниже класс ИСПДн, то на проект защиты ПДн уйдет
меньше средств. Это не верно, т.к. отличия между классами минимальны.
Некоторые
делят БД на части и говорят, что теперь получилась ИСПДн более низкого класса.
Некоторые
подписывают каждое окно программы словом «Архив» и говорят, что у них всё в
архиве, а это не подпадает под 152-ФЗ.
Раньше
благодаря двусмысленности формулировки в 687-ПП автоматизированную обработку
ПДн пытались сводить к неавтоматизированной.
Фактически К4
это не ПДн, т.к. по ним невозможно идентифицировать субъекта. Однако, часто даже
для обезличенных ПДн важна целостность и иногда доступность.
С точки зрения защиты К3 и К2
почти не отличаются, поэтому сейчас на рынке почти нет СЗИ с сертификатом на
К3.
Между К2 и К1
есть всего два отличия: защита акустических каналов – по сути это бред и наличие 4 уровня НДВ. Чтобы
получить 4 НДВ, нужно передать исходные коды для анализа, а это просто сделать
российскому производителю и сложно иностранному.
Уровни
защищенности это надстройка над классами.
Чернышева Журнал про ПДн
(было очень
вялое, не информативное выступление о том, что не нужно бояться вывешивать
Политику обработки ПДн на своём сайте)
Чугунов Алладин
Плюсы новой
редакции закона о ПДн:
·
появились условия обработки без согласий;
·
понятие «оператор» стало более правильным;
·
определение «неавтоматизированная обработка»
стало однозначным по сравнению с определением из 687-ПП;
·
оператор вправе сам определять, как он будет
защищать ПДн;
·
введено новое понятие «оценка вреда» для случаев
нарушения требований закона;
·
присутствует конкретный перечень мер защиты.
На сегодня
есть только одна форма оценки соответствия в ФСБ и ФСТЭК – это сертификация
СЗИ.
Если у
организации нет конкретных, то есть прописанных кем-то для неё требований по
защите технических каналов, то такая защита не требуется.
Мороз Аладдин \ Дукреева Газинформсервис
(только
перечислили СЗИ, которые они продают)
Сытник Search Inform
В 152-ФЗ есть
несколько фрагментов фраз, из которых следует необходимость DLP.
Лет 5 назад
считалось, что нужно технически закрывать все мыслимые и не мыслимые каналы
потенциальных утечек информации.
Сейчас же
считается, что запрещать всё это не нужно, а нужно уметь контролировать их.
Есть разные
методы поиска данных:
·
поиск по словам – метод не подходит для ПДн;
·
поиск по регулярным выражениям – метод работает;
·
поиск похожих документов – метод работает.
Важно
контролироваться почту (включая web),
ICQ, Skype, чаты, блоги, социальные сети. Также
IP-телефонию, MS Link, печать документов,
делать теневое копирование документов и скриншоты с рабочих ПК.
Важно парсить
графические файлы, т.к. в них могут быть сканы документов, нужно что-то делать
с запароленными архивами.
Для защиты
ноутбуков есть off-line агент, который локально
собирает информацию, а при подключении к сети передает информацию на сервер
управления.
Нестандартные
применения DLP:
·
средство в контексте непрерывности бизнеса. DLP может архивировать информацию
и в случае недоступности исходных сервисов, информация для бизнес процесса
возьмется из архивов DLP;
·
средство для исследования настроений коллектива
и отдельных сотрудников.
Выводы
В общем и
целом семинар мне понравился, мне удалось на нём позавтракать и пообедать. В
конце семинара для того, чтобы расшевелить мрачную и спящую аудиторию
организаторам пришлось начать дарить книги по анализу рисков. После первой
книги количество активно задающих вопросы, стало на порядок больше.