Страницы

Что общего у ИБ и автопрома?

Мне часто приходится дискутировать на тему "зачем тратить деньги на ИБ?" и стоит сказать, что, будучи ИБэшником, я обычно соглашаюсь с доводами оппонентов. Да, действительно, затраты на ИБ не окупаются. Да, затраты вызваны не реальными потребностями бизнеса, а "эпохой комплаянса" (т.е. навязыванием обязательных к исполнению требований государства). Да, ИБ часто делается "для галочки", что вызвано в равной степени желанием заказчика  выполнить формальные требования руководящих документов, ничего не меняя, и желанием интегратора заработать с минимальными трудозатратами и проблемами. Обычно, аргумент "так требует закон (стандарт)" является ключевым в любом обосновании затрат на ИБ, что делает тему ИБ искусственно "раздутой", а не осознанно необходимой.
Однако я не могу не привести одну историческую параллель, которая, возможно, заставит вас взглянуть по-другому на этот вопрос.

Анализ вреда субъекту ПДн

Как мы знаем, согласно 5) ч. 1 ст. 18.1 152-ФЗ, оператор "может разработать" но "обязан представить" документ по оценке вреда субъекту ПДн в случае нарушения требований ФЗ (занятно, что вред субъекту уже наносит сам факт нарушения требований ФЗ, а не, к примеру, неправомерные действия с его ПДн),  а так же по соотношению вреда и предпринимаемых оператором мер.

Вот об этом документе я бы и хотел сегодня поговорить.






В Виллариба и Виллабаджо опять выборы

Анализируя материалы Краснодарского ЦИКа, не могу не написать про некоторые статистически интересные моменты, на которые я наткнулся.

Есть в Краснодаре две школы: СОШ №95 и СОШ №96...

О пользе пиратства


As long as they are going to steal it, we want them to steal ours. They'll get sort of addicted, and then we'll somehow figure out how to collect sometime in the next decade.


примерный перевод вышесказанного:

Пока они крадут - пусть крадут у нас. Они "подсядут" на наше ПО и когда-нибудь им придется за него заплатить.


В свете вступления нашей страны в ВТО, как никогда актуальной становится борьба с пиратством в нашей стране. Я хотел бы поделиться моими мыслями по-этому поводу.

Как я посетил конференцию AntiFraudRussia 2011

Интересность:       ▃ ▄ ▅ ▆
Организация:        ▃ ▄ ▅ ▆
Питание:                ▃ ▄ ▅
Местоположение: ▃ ▄ ▅ ▆ ▇

Что понравилось: доклады по состоянию киберпреступности.
Что не понравилось: рекламные доклады спонсоров, 3 параллельные секции со сбитым расписанием (т.е. интересные доклады были размазаны по разным секторам).

теперь подробнее (много текста и фото)

"Письма счастья" от Роскомнадзора

Как нарваться на внеплановую проверку?
Очень просто. Достаточно не ответить на письмо Роскомнадзора, которые он рассылает операторам с требованием:
1) уведомить или предоставить справку о причинах не уведомления;
2) предоставить документы из ч.1 ст.18.1 152-ФЗ (ч.4 данной статьи как раз даёт им право на подобные запросы).
Если письмо вы проигнорировали и ни уведомление ни справку не послали - получите постановление о нарушении ст. 19.7 КоАП.
В результате вы сидите со штрафом и предписанием все исправить к повторной проверке, а Роскомнадзор выполнил свою государственную функцию не вставая со стула. Зверски эффективно! 
Пример тут и тут

Методические рекомендации ФСТЭК ЮФО

Практически одновременно с 58 приказом большого ФСТЭКа, ФСТЭК ЮФО выпустил и свой документ по защите ПДн, основанный на отмененном четверокнижие.
Спустя полгода, в июне 2010 года были выпущены обновленные Методические рекомендации ФСТЭК ЮФО уже на базе 58 приказа, о которых я и хотел бы сегодня рассказать.
Документ, в целом, неплохой. Его основным существенным бонусом является наличие аж 13 шаблонов документов (!). 
Вот они:
1. Акт классификации;
2. Матрица доступа;
3. Приказ об организации работ по безопасности ПДн;
4. Список сотрудников, имеющих доступ к ПДн;
5. Инструкция по учёту лиц, допущенных к работе с ПДн;
6. Модель угроз;
7. Требования по обеспечению безопасности ПДн;
8. Журнал учёта средств защиты информации;
9. Заключение о возможности эксплуатации средств защиты информации;
10. Инструкция по организации резервирования и восстановления;
11. Журнал учёта машинных носителей ПДн;
12. Акт обследования ИСПДн;
13. Описание системы защиты ПДн в ИСПДн.

За что я люблю этот док, так это за наличие шаблонов аттестационных документов и достаточно подробное описание процесса аттестации. Так же документ прописывает ответственность лицензиатов за соответствие системы защиты ПДн требованиям ФСТЭК и даже ссылается на наказание в виде статьи 723 ГК РФ, что порой бывает полезно :).
Аутсорсинг обработки ПДн все популярней и популярней с каждым днем, однако лицензии ФСТЭК есть далеко не у всех компаний, предоставляющих такие услуги. Обосновать необходимость подобной лицензии поможет п.3.2. документа, который говорит о том, что аутсорсер должен быть лицензиатом ФСТЭК (кстати перечень лицензиатов есть здесь).

Резюмируя всё вышесказанное, могу сказать, что спустя полтора года документ по-прежнему актуален и порой просто незаменим. А вот и он.

РКН против ДСЗН, или что же все-таки такое "инвалидность".

Считать ли инвалидность информацией о здоровье или не считать?
Этот вопрос, зачастую, ведет к следующему - "К1 или К2?". А этот, в свою очередь, приводит к вопросу "нужен сертификат по НДВ или не нужен?". Последний напрямую влияет на бюджет создаваемой подсистемы ИБ за счёт выбора более дорогих в основном отечественных СЗИ.
Поэтому важность первоначального вопроса нельзя переоценить. Классическая позиция Роскомнадзора заключается в трактовке инвалидности как "сведений о здоровье", тогда как многие операторы считают инвалидность категорией трудоспособности субъекта, что обычно и является целью сбора подобных сведений, ведь не каждую работу инвалид физически способен выполнить.
Оставив за бортом тонкости этой дискуссии, приведу пример постановления суда.
Дело было так. РКН произвел проверку и выявил обработку "сведений о состоянии здоровья". Написал предписание, которое оспорил в суде один из Центров занятости Краснодарского края. 
Суд они выграли. Хотя право в нашей стране и не прецедентное, однако подобное решение суда может кому-нибудь очень пригодиться. 
Если нужен оригинал - пишите, пожалуйста, в комментариях.

ВТО и криптография

Недавно наткнулся на такой вот документ:
Документ сам по себе интересный. Однако особо интересны места про криптографию и стандартизацию.
1. С момента вступления России в ВТО продукция с криптографической технологией будет ввозиться без лицензии на импорт (явный плюс для западных вендоров типа Cisco, Juniper, 3com, Zyxel  и т.д.).
2. Будут отменены лицензии на импорт более чем десятка видов продукции, содержащую криптографическую информацию (в список вошли цифровые устройства электронной подписи, персональные смарт-карты или беспроводные радиооборудования и т.д.).
3. Российская Федерация гарантирует, что все законодательство в области технического регулирования, стандартов и процедуры оценки соответствия будут удовлетворять нормам Соглашения ВТО о техническом регулировании. (точнее Соглашения ВТО по техническим барьерам в торговле).
4. К концу 2015 года, обязательные требования к телекоммуникационным оборудованиям, используемым в общедоступных сетях, будут сведены к требованиям технического регламента, принятого Евразийской экономической комиссией и в соответствии с соглашениями Таможенного союза.
5. Российская Федерация регулярно пересматривает перечни продуктов, подлежащих обязательной сертификации, и требующих заявления о соответствии. Также РФ пересматривает все технические регламенты, применяемые на своей территории (включая Таможенный союз и Евразийское экономическое сообщество) для подтверждения их эффективности, необходимой для достижения задач Федерации в соответствии с Соглашением ВТО о техническом регламенте (фактически это значит что обязательная сертификация может остаться только в областях, связанных с национальной безопасностью, здоровьем граждан и защитой окружающей среды).
Аккредитованные и имеющие сертификат органы будут заменены единым национальным аккредитационным органом не позднее 30 июня 2012 года. Название и иная информация о данном органе будет опубликована на официальном интернет-сайте Россельхознадзора (почему, интересно, выбрали именно Россельхознадзор?) и Комиссии Таможенного союза.

Основная идея всего этого - сделать равные условия на российском рынке для западных и отечественных продуктов, а это значит, что под "оценкой соответствия средств защиты" мы будем понимать любую сертификацию по безопасности любого члена ВТО. Сертификация ФСТЭК и ФСБ выглядит в свете ВТО как чисто протекционистский шаг, который в рамках ВТО  не приемлем.

Не за горами тот день, когда в конкурсе на защиту ПДн какого-нибудь "Департамента..." или "Министерства .." будут красоватся какие-нибудь немецкие, французские или голландские компании...