четверг, 23 октября 2014 г.

"Личные, семейные и домашние нужды"


Что такое «личные и семейные нужды»? Эту формулировку мы часто встречаем в наших нормативных актах, но куда реже встречаем ее содержание.
Как известно, летом вступили в силу поправки в ФЗ-149, обязывающие Организаторов распространения информации в сети "Интернет" уведомить Роскомнадзор о начале осуществления такой деятельности. Законодатель милостиво позволил

четверг, 2 октября 2014 г.

Как уйти от оценки соответствия СЗИ?

Вокруг применения для защиты ПДн средств защиты, прошедших оценку соответствия, копий сломано немало. Сломаем еще одно, небольшое :)

Как выполнить Приказ ФСТЭК №21 и в то же время обойтись не только без сертифицированных СЗИ, но и вовсе без СЗИ, прошедших оценку соответствия?  Хотя бы частично?  Постановление Правительства РФ 1119 обязывает применять прошедшие оценку соответствия СЗИ только для защиты от актуальных угроз (см. п.13 Постановления). Стало быть, для реализации мер, изложенных в приказе ФСТЭК №21 (да и в приказе ФСБ №378) можно обойтись любыми СЗИ, если эта мера реализуется не в силу наличия актуальной угрозы, а просто потому, что определена приказом.
Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь. Должно ли средство обнаружения вторжений быть сертифицированным (прошедшим испытания и пр...)? Должно, только если  угроза вторжений актуальна. А если нет - насчет оценки соответствия в Постановлении ничего не сказано. Берем и ставим любое СОВ.
Применим ли данный подход к СКЗИ? Теоретически да. Ставим несертифицированный VPN, делаем угрозу неактуальной, пишем сие в ЧМУ - и спим спокойно. Как вам идея?

Остается только одна маленькая проблема: доказать свою правоту ФСБ :)

четверг, 24 апреля 2014 г.

Новое от ФСТЭК

ФСТЭК опубликовала новое информационное сообщение "О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации".

Продолжная "лучшую практику" знакомства общественности со своей официальной точкой зрения, регулятор привел краткий обзор наиболее распространенных ошибок, которые допускают соискатели лицензий (особенно те, кто получет лицензию впервые и делает это самостоятельно). Как и следовало ожидать, наибольшие сложности возникают в случаях заключения договоров аренды на помещения, на контрольно-измерительное оборудование, а так же на подтверждение наличия на законном основании технической документации, нац. стандартов и методических документов (прежде всего "дсп"). Как ни странно, типичной ошибкой также является неправильно оформленное заявление о получении лицензии, хотя форма заявлений приведена в административных регламентах.
Ну и еще из полезного: приведены телефоны, по которым проводится консультирование по вопросам лицензирования в Центральном аппарате ФСТЭК и в управлениях по ФО. Правда, время звонка всего лишь вторник, четверг и всего лишь с 10.00 до 12.00. Не густо.

Конечно, информация не Бог весть какая подробная, но тем не менее. "Дорог не подарок, а внимание".

воскресенье, 6 апреля 2014 г.

Что проверяет РКН в Уральском ФО?


Один из самых внушительных перечней документов, необходимых при проверке Роскомнадзором оператора персональных данных, размещен на сайте управления РКН по УрФО. В списке 20 пунктов, но многие пункты подразумевают предоставление нескольких дополнительных документов (регламенты, инструкции, журналы, списки и т.п.), таким образом, окончательное количество документов, необходимых для прохождения проверки РКН, остается неизвестным.

Смотрим:

воскресенье, 30 марта 2014 г.

Так ГИС или КИИ? Вот в чем вопрос.


С принятием Федерального закона «О безопасности критической информационной инфраструктуры РФ» добавится неопределенности в вопросе: какие ИС по каким требованиям защищать?.
Для государственных информационных систем существует, как известно, Приказ ФСТЭК №17. Для защиты информации в АСУ ПТП КВО скоро появится отдельный приказ. Граница между сферами действия этих документов, традиционно, весьма размыта.

Действительно, согласно законопроекту, "критическая информационная инфраструктура РФ – 

понедельник, 17 марта 2014 г.

О пользе обезличивания ПДн


Продолжая разговор об обезличивании, попытаемся извлечь практическую пользу от обезличивания ПДн (тем более, что, как недавно рассказал Алексей Лукацкий, для государственных и муниципальных учреждений обезличка является обязательной). Поскольку «обезличенные данные» не являются персональными данными, их можно безбоязненно передавать по открытым каналам связи, что избавляет оператора от необходимости «связываться» с криптосредствами. Конечно, при этом встает проблема передачи информации, необходимой для последующего деобезличивания. Формально говоря, передавать ее по тому же каналу, что и «обезличенные данные» нельзя, поскольку вероятность перехвата ПДн нарушителем будет достаточно высока.

четверг, 27 февраля 2014 г.

ПДн: вопросы обезличивания


Не смотря на издание Роскомнадзором Приказа №996 по обезличиванию ПДн и даже Методических рекомендаций по его применению, ряд вопросов, связанных с обезличкой, все же остается.
                         
Первый вопрос самый простой: являются ли обезличенные ПДн по-прежнему персональными данными или превращаются в какую-то иную информацию?. Сам Приказ 996 на этот вопрос прямо не отвечает, однако, Методрекомендации вводят понятие «обезличенных данных», из которого ясно видно, что ПДн, будучи обезличенными, перестают быть персональными данными. Проще говоря, после обезличивания они «исчезают» (во всяком случае, исчезают из ИСПДн, а с практической точки зрения это главное).

понедельник, 24 февраля 2014 г.

"Уязвимости" 17-го


Одна из главных «уязвимостей» 17-го приказа связана с тем, что в его разработке не принимали участия юристы. Писавшие приказ практики неплохо представляют себе топологию информационных систем, но мало думали над тем, какие юридические проблемы встанут перед его исполнителями, особенно, если они имеют дело с крупными ГИС федерального масштаба.

В реестре федеральных ГИС на сегодняшний день ни много, ни мало 324 наименования. Среди операторов ГИС – МЧС, МВД, Минкомсвязь, Минобраз и многие другие «монстры», информационные системы которых имеют сложную разветвленную структуру, охватывающую всю Россию. И в каждой ИС масса особенностей, обусловленных ее назначением, условиями эксплуатации, а  так же организационной структурой ведомства, являющегося оператором ГИС.

среда, 19 февраля 2014 г.

"Не применяется"


Нужно ли аттестовать ИСПДн, если ее оператором является государственный (муниципальный) орган, но сама ИСПДн при этом не является государственной информационной системой (ГИС)? Например, ИС бухгалтерии администрации Н-ской области? Вопрос, на первый взгляд, простой: последний документ, в котором прямо говорится об обязательности аттестации ИСПДн, не применяется с 2010 г (хотя формулировочка «не применяется» может поставить в тупик хорошего юриста). Какая еще аттестация?

понедельник, 17 февраля 2014 г.

При вторжении эта сторона улицы наиболее опасна!

Даже самый хороший методический документ можно испортить одним плохо определенным термином. Особенно, если этот термин ключевой.

О системах обнаружения вторжений говорят уже давно, и еще в декабре 2011 г ФСТЭК утвердила «Требования к системам обнаружения вторжений». Оценивать наличие угроз вторжений (или атак) нужно в ходе моделирования угроз безопасности информации, а в ряде случаев (например, при защите информации в ГИС 1 и 2 классов) применение СОВ стало обязательным. Однако, в подвешенном состоянии остается главный вопрос: что такое вторжение и как его отличить от других угроз безопасности информации?


Откроем методический документ ФСТЭК «Профиль защиты систем обнаружения вторжений» (любой из двенадцати). Читаем определение:

воскресенье, 16 февраля 2014 г.

"Качество на прежнем уровне"


Какова эффективность работы регуляторов при проведении мероприятий по контролю и надзору в своей сфере? Не каждый регулятор спешит поделится такой информацией с широкой общественностью. Роскомнадзор в этом вопросе составляет счастливое исключение.

В Отчете о деятельности Роскомнадзора за 2012 г (отчет за 2013-й мы увидим еще не скоро) есть любопытный пункт (стр.155 Отчета):

«Доля судебных решений по исковым заявлениям, связанным с обжалованием решений территориального органа Роскомнадзора в сфере связи, принятых в пользу Роскомнадзора (в % от их общего числа в сфере связи, направленных объектами надзора в судебные органы): В 2011 и 2012 гг. показатель составил 62,2 % и 60,72 % соответственно».

В переводе на нормальный русский язык это означает, что из 100 случаев обжалования в суде результатов проверок операторов связи соответственно 37,8 и 39,28 жалоб суд признал обоснованными. Если еще проще, то 

пятница, 14 февраля 2014 г.

IV конференция. Вопросы сертификации СЗИ.

В продолжение вчерашнего рассказа о IV конференции «Актуальные вопросы защиты информации» нужно отметить выступление начальника управления ФСТЭК России Д. Шевцова, поделившегося планами утверждения документов в области сертификации СЗИ. Чего следует ждать в этом направлении? Прежде всего, утверждения нормативного правового акта «Организация и порядок проведения сертификации продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну». Предполагается регламентировать процедуру сертификации СЗИ в части установления сроков проведения работ по сертификации. Кроме того, будут прописаны требования по сопровождению разработчиком (заявителем) своих СЗИ и определен порядок инспекционного контроля СЗИ. Как следует из названия документа, он не коснется сертификации СЗИ, применяемых для защиты ГТ. Во всяком случае, пока не коснется. Когда будет наработана новая практика, возможно, ее распространят и на ГТ.

четверг, 13 февраля 2014 г.

IV конференция и планы ФСТЭК

12 февраля 2014г в рамках ТБ-форума состоялась IV конференция «Актуальные вопросы защиты информации». Участие представителей ФСТЭК России и известных экспертов в области ИБ обеспечило мероприятию настоящий аншлаг, по причине которого многим посетителям пришлось слушать выступления стоя (в виду нехватки стульев). Основными участниками и, естественно, ньюсмейкерами конференции стали руководители управлений ФСТЭК В. Лютиков и Д. Шевцов, поделившиеся планами нормотворчества на ближайшие два года. Традиционный интерес вызвала презентация А. Лукацкого (ООО Cisco Systems), а так же выступление представителя одного из основных разработчиков проектов НПА ФСТЭК – А. Сидак (ООО «ЦБИ»), поделившегося секретами выбора мер защиты информации в ГИС (выбор так называемых «мер усиления»).

Планов у ФСТЭК громадье. Только под Приказ №17 предполагается утвердить не менее 8 методических документов (впрочем, один из них, «Меры защиты информации в ГИС», уже был утвержден за день до конференции). Примерный перечень остальных выглядит так:

- «Методика определения угроз безопасности информации в ИС» (обсуждение планируется в I квартале 2014г;
- «Порядок аттестации ИС»;
- «Порядок обновления ПО в ИС»;
- «Порядок выявления и устранения уязвимостей в ИС»;
- «Порядок реагирования на инциденты нарушения безопасности информации»;
- «Защита информации в ИС при использовании мобильных устройств»;
- «Защита информации в ИС при использовании устройств беспроводного доступа».

Этот список, насколько можно понять из выступления В. Лютикова, не окончательный и будет расширяться. В 17-м приказе достаточно много требований к мерам, никак не регламентированным в действующих НПА. А приказ, вообще-то, требуется выполнять уже сейчас. Во всяком случае, пытаться.

Вторым важным направлением развития НПА является проект «Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Чем хорош проект? Тем, что в нем реализован точно такой же принцип организации ЗИ и выбора мер защиты, как и в 17-м и 21-м приказах. Только мер здесь не 13, и даже не 15, а двадцать одна (включая, например, меры по информированию и обучению пользователей). Принцип выбора, как и в предыдущих документах, четырехшаговый (базовый набор, адаптация, уточнение, дополнение). А вот классов ИС не 4, а 3, да и сама классификация попроще, чем в 17-м. И еще одна важная деталь: аттестация АСУ ПТП КВО не обязательна, оценить соответствие защищенной системы можно в форме приемки в эксплуатацию. Собственно, проект документа уже выложен на сайте ФСТЭК и вряд ли нуждается в более детальном рассказе. Методические документы, о которых шла речь выше, будут, разумеется, применяться и для реализации «Требований …».
(продолжение следует ...)