tag:blogger.com,1999:blog-67481120784697122412024-02-07T13:47:30.887-08:00Another Brick in the FirewallАлександр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.comBlogger29125tag:blogger.com,1999:blog-6748112078469712241.post-25662780980257987272017-05-16T07:16:00.001-07:002017-05-16T07:16:25.695-07:00Новое в жизненном цикле ГИС<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNoSpacing">
23 мая вступают в силу <a href="http://www.consultant.ru/document/cons_doc_LAW_216690/65817a47ee4b8780ee0e0660cb9c8c3f31a1e867/">поправки </a>в Постановление
Правительства №676 «О требованиях к порядку создания, развития, ввода в
эксплуатацию, эксплуатации и вывода из эксплуатации государственных
информационных систем и дальнейшего хранения содержащейся в их базах данных
информации». В чем суть поправок? В общем-то в том, что при принятии 676-го
Постановления авторы почему-то проигнорировали необходимость защиты информации,
обрабатываемой в ГИС. Скорее всего, просто не знали о существовании 17-го
приказа ФСТЭК. И вот теперь все становится на свои места: на каждом этапе
жизненного цикла ГИС (разработка рабочей документации на систему, разработка
ПО, пусконаладочные работы, проведение
предварительных испытаний системы и т.д.) требуется и проведение мероприятий по
ЗИ. Проще говоря, часть требований 17-го приказа включили в требования к
жизненному циклу создаваемых ГИС. Ничего нового. За исключением одного «нюанса»:
модель угроз и техническое задание на ГИС теперь нужно будет согласовывать с
ФСБ и с ФСТЭК. Практика такого согласования встречалась и раньше, но не было
обязаловки: регулятор в ряде случаев сам требовал от оператора или от
разработчика направить МУ на согласование. Теперь это станет обязательным. Самое
неприятное в этом требовании то, что ФСТЭК так и не придумала методику
определения угроз для ГИС. Поэтому угадать «как правильно написать МУ» будет сложно.
Большинство живут по методике 2008 г, что не совсем правильно. Кто-то
приноровился работать по неутвержденному проекту новой методики, что еще менее
правильно. Как говорится – куда ни кинь…<o:p></o:p></div>
<br />
<div class="MsoNoSpacing">
А второй проблемой здесь является то, что МУ следует
писать на еще несуществующую систему, на которую даже нет технического задания.
Очень сложно искать угрозы в системе, которой нет, а еще сложнее доказать, что
они неактуальны. Возможно, такая картина устраивает регуляторов: неважно, какая
у вас модель угроз, важно, как вы ее согласовали…<o:p></o:p></div>
</div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-29464565523537586232017-02-16T08:11:00.003-08:002017-02-16T08:58:04.433-08:00БДУ ФСТЭК: состояние и перспективы<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNoSpacing">
Продолжу рассказ о конференции «Актуальные вопросы защиты
информации». Кроме представителей центрального аппарата ФСТЭК, на конференции выступил
представитель ГНИИИ ПТЗИ С.В. Соловьев с рассказом о Банке данных угроз и
уязвимостей и о перспективах его развития.<o:p></o:p></div>
<div class="MsoNoSpacing">
На момент доклада в БДУ содержались сведения о 15377
уязвимостях и 194 угрозах. Разумеется, эти цифры будут пополняться, а работа с
БДУ станет более удобной.<o:p></o:p></div>
<div class="MsoNoSpacing">
В 2016 г реализовано представление сведений об
уязвимостях в формате <span lang="EN-US">XML</span>.
Соотношение количества уязвимостей по уровню их опасности в 2016 г выглядело следующим образом:<o:p></o:p></div>
<div class="MsoNoSpacing">
<b>Низкая опасность – 2%<o:p></o:p></b></div>
<div class="MsoNoSpacing">
<b>Средняя – 31%<o:p></o:p></b></div>
<div class="MsoNoSpacing">
<b>Высокая – 64%<o:p></o:p></b></div>
<div class="MsoNoSpacing">
<b>Критическая – 3%.</b><o:p></o:p></div>
<div class="MsoNoSpacing">
<b><br /></b></div>
<div class="MsoNoSpacing">
Соотношение критических уязвимостей по производителям ПО:<o:p></o:p></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLfEGjfgz3LvKpzrZmMXFz2d2cVQb7F0iYnOuRzB6g02fF9dqq-c8QHJM-KxKLsdy2zzYMv4GuDF_RmzVu81EtHvEZF3OqFuVrhzpWs9RTpc2JLA1Aq9_z221Px4MgUYGh2E71LFe68mq-/s1600/sl+08.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="297" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLfEGjfgz3LvKpzrZmMXFz2d2cVQb7F0iYnOuRzB6g02fF9dqq-c8QHJM-KxKLsdy2zzYMv4GuDF_RmzVu81EtHvEZF3OqFuVrhzpWs9RTpc2JLA1Aq9_z221Px4MgUYGh2E71LFe68mq-/s400/sl+08.jpg" width="400" /></a></div>
<div class="MsoNoSpacing">
<o:p> Равнение на лидеров! :)</o:p></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Наиболее популярные параметры при обращении к базе уязвимостей: тип ПО, вендор и уровень опасности уязвимости</div>
<div class="MsoNoSpacing">
<o:p></o:p></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXOXVHBAKgywXev8sTgdsEFTp0kIKWgQh9dQeltXFjxtZkFf-z31QXZxOyoD9Y1q0Qrtlg53VKw77N6ZOMu8NDoxZPqy9K90tfCxj3sfLzfTPntx4zEiL-GOkwHtVRL6EI2o3pbEmFCA4l/s1600/sl+07.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXOXVHBAKgywXev8sTgdsEFTp0kIKWgQh9dQeltXFjxtZkFf-z31QXZxOyoD9Y1q0Qrtlg53VKw77N6ZOMu8NDoxZPqy9K90tfCxj3sfLzfTPntx4zEiL-GOkwHtVRL6EI2o3pbEmFCA4l/s400/sl+07.jpg" width="400" /></a></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
В 2016 г реализовано еженедельное обновление базы уязвимостей, а сам БДУ перенесен в защищенный гос. сегмент <span lang="EN-US">RSNet</span>. Подготовлен калькулятор <span lang="EN-US">CVSS v.3.0</span>.<o:p></o:p></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Наиболее популярные уязвимости в 2016г:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgTOZ2LoXHjpPP-nMn5_Q_t_noJiQPlS2m2C4trpFwJL-MBw6UtViGx2gIsseIQhKWrEZsAyHjrFm6wUBeP4OziB8GFRr2Xp0dh9i-Z64ktPGdpFTT5TDVvVrdUjQeQzPeFzuNTNHRdAd1Z/s1600/sl+010.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgTOZ2LoXHjpPP-nMn5_Q_t_noJiQPlS2m2C4trpFwJL-MBw6UtViGx2gIsseIQhKWrEZsAyHjrFm6wUBeP4OziB8GFRr2Xp0dh9i-Z64ktPGdpFTT5TDVvVrdUjQeQzPeFzuNTNHRdAd1Z/s400/sl+010.jpg" width="400" /></a></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Наиболее «популярное» ПО с точки зрения запросов о наличии уязвимостей: </div>
<div class="MsoNoSpacing">
<o:p></o:p></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtI7JRdxEtBrA2cKecW5W1bXatsdwsWD03Bp2sSbaQaEkSxES7DErQVEm1IVX62QG6lvIEYsnRL86NGacfVC0_v5hcBOLHNDzhfK876GuRmrFtqM3tW9S0gdGmDln547fIFpw9i5AjCNMH/s1600/sl+011.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="345" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtI7JRdxEtBrA2cKecW5W1bXatsdwsWD03Bp2sSbaQaEkSxES7DErQVEm1IVX62QG6lvIEYsnRL86NGacfVC0_v5hcBOLHNDzhfK876GuRmrFtqM3tW9S0gdGmDln547fIFpw9i5AjCNMH/s400/sl+011.jpg" width="400" /></a></div>
<br />
<br />
<a name='more'></a>В 2017 г планируется ввести фильтрацию уязвимостей по способам их устранения и по способам их эксплуатации, должны появиться диаграммы по среднему времени устранения уязвимостей вендорами, планируется реализовать описание уязвимостей на языке <span lang="EN-US">OVAL</span>.<br />
<br />
Кроме того появится возможность создания личного кабинета пользователя на сайте БДУ и будет вестись рейтинг исследователей уязвимостей с «доской почета» наиболее эффективных исследователей. Критериями эффективности будут:<br />
<br />
<div class="MsoNoSpacing">
<o:p></o:p></div>
<div class="MsoNoSpacing">
- важность объекта исследования,<o:p></o:p></div>
<div class="MsoNoSpacing">
- качество представленной доказательной базы,<o:p></o:p></div>
<div class="MsoNoSpacing">
- уровень опасности уязвимости,<o:p></o:p></div>
<div class="MsoNoSpacing">
- востребованность сведений об уязвимости.<o:p></o:p></div>
<div class="MsoNoSpacing">
Чем будут награждать «передовиков производства», докладчик не уточнил :)</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
По угрозам. В 2016 г проведена классификация угроз. Введены несколько классификационных признаков:</div>
<div class="MsoNoSpacing">
<o:p></o:p></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhbDmNSXWeCWPh6rXW7WgI2vuDlWYzjzBBws4PxJ_MThOEnxir3dQL2XDXjaDFnqfMC_ZtZEPItZqA9wrLF3bcMD5Z_fMEkhBrwfZ7jiOKm8HomaDevELbiMDrUOirG3oPUhaJTG62fpDgv/s1600/sl+014.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhbDmNSXWeCWPh6rXW7WgI2vuDlWYzjzBBws4PxJ_MThOEnxir3dQL2XDXjaDFnqfMC_ZtZEPItZqA9wrLF3bcMD5Z_fMEkhBrwfZ7jiOKm8HomaDevELbiMDrUOirG3oPUhaJTG62fpDgv/s400/sl+014.jpg" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5ThaqiFQfbw_auB7MngBTjx2XezWwy2f1aPdwIl2o228dPMs1YVqS6fMeap89PKQLqXr8zCMvOy9jnhOnx18zR6kdXmHZlGXoHrw1WwM86Pk5CQ_GkU-NT72J2c9LSTya33ul7TAJqJxq/s1600/sl+015.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="301" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5ThaqiFQfbw_auB7MngBTjx2XezWwy2f1aPdwIl2o228dPMs1YVqS6fMeap89PKQLqXr8zCMvOy9jnhOnx18zR6kdXmHZlGXoHrw1WwM86Pk5CQ_GkU-NT72J2c9LSTya33ul7TAJqJxq/s400/sl+015.jpg" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8R6jgf6lvT0mkXl2LeN4NBKd7WOJWdPbOEZcS79U7Jxl0fbJ2lZ4uCgJhK5TN81cqkrsOR7trmrQdk4VYUI1FCWcStBCk4J_ab2_-M3AsSzUbrB4SsBloGY6aQ8Aa-pZ3MWUYcxfPcwcX/s1600/sl+016.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="301" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8R6jgf6lvT0mkXl2LeN4NBKd7WOJWdPbOEZcS79U7Jxl0fbJ2lZ4uCgJhK5TN81cqkrsOR7trmrQdk4VYUI1FCWcStBCk4J_ab2_-M3AsSzUbrB4SsBloGY6aQ8Aa-pZ3MWUYcxfPcwcX/s400/sl+016.jpg" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrVrIY0hy76MoxOdQFlpXIgv1xXU5v2L_5kzIoxbZuROFUpE30Q5vzlnso2FPlItlh6cBxx0k4q6Uf_4dohJnRYI0UMaltVEzp4m-c_GnF2Xd8BHcgjqtfFcm2WfFfsLROBRzjJDdLFcnu/s1600/sl+017.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="301" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrVrIY0hy76MoxOdQFlpXIgv1xXU5v2L_5kzIoxbZuROFUpE30Q5vzlnso2FPlItlh6cBxx0k4q6Uf_4dohJnRYI0UMaltVEzp4m-c_GnF2Xd8BHcgjqtfFcm2WfFfsLROBRzjJDdLFcnu/s400/sl+017.jpg" width="400" /></a></div>
<br />
<div class="MsoNoSpacing">
Интересно, будет ли она коррелировать с новой методикой определения угроз, которую нам так долго обещает регулятор? На факт. Дело в том, что эту классификацию вводят одни люди, а Методику пишут совсем другие. Посмотрим. Хотелось бы, конечно, единства подходов.<br />
<br /></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Но судя по выступлению С.В. Соловьева, ФСТЭК всерьез намерена
сделать свой БДУ полезным и популярным ресурсом и для разработчиков ПО, и для
его потребителей. <o:p></o:p></div>
<br />
<div class="MsoNoSpacing">
<br /></div>
</div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-70663131755945241192017-02-13T00:19:00.000-08:002017-02-13T00:22:29.204-08:00Вопросы сертификации СЗИ на ТБ-форуме<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNoSpacing">
Наибольше внимание на конференции «Актуальные вопросы
защиты информации» (8 февраля, г. Москва) представители ФСТЭК традиционно
уделили вопросам сертификации СЗИ. Презентация начальника 2 управления ФСТЭК
Д.Н. Шевцова так и называлась: «Проблемные вопросы
сертификации СЗИ». Наибольшим вниманием со стороны регулятора в данной области пользуются
следующие направления:<o:p></o:p></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<div style="text-align: left;">
<span style="font-family: "wingdings"; text-indent: -18pt;"><span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;"> - </span></span><span style="text-indent: -18pt;">Разработка и
внедрение требований к СЗИ;</span><br /><span style="font-family: "wingdings"; text-indent: -18pt;"><span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">- </span></span><span style="text-indent: -18pt;">Качество поддержки
сертифицированных СЗИ;</span><br /><span style="font-family: "wingdings"; text-indent: -18pt;"><span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;"> - </span></span><span style="text-indent: -18pt;">Прекращение
поддержки сертифицированных СЗИ;</span><br /><span style="font-family: "wingdings"; text-indent: -18pt;"><span style="font-family: "times new roman"; font-size: 7pt; font-stretch: normal; line-height: normal;">- </span></span><span style="text-indent: -18pt;">Выявление и
устранение уязвимостей в СЗИ заявителями на сертификацию, испытательными
лабораториями и операторами ИС.</span></div>
</div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<!--[if !supportLists]--><o:p></o:p></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoNoSpacing">
Дмитрий Николаевич напомнил, какие документы,
определяющие требования к СЗИ были утверждены начиная с 2011 г. В 2017 году
планируется утвердить требования:<o:p></o:p></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUG-7NBhPqCLQ2LjgJD3m-3eaFS_Gms5fR-6GstnE8pOT87hiC8cSWkb3S_mGVtCFgqqtH5HWUGsfJaTeMEekdBx4uKq7qGIbQXm45Qr7OOinSak95f0MwNx_AxGROgTgalHtRj3WGrlok/s1600/sl+5.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="297" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUG-7NBhPqCLQ2LjgJD3m-3eaFS_Gms5fR-6GstnE8pOT87hiC8cSWkb3S_mGVtCFgqqtH5HWUGsfJaTeMEekdBx4uKq7qGIbQXm45Qr7OOinSak95f0MwNx_AxGROgTgalHtRj3WGrlok/s400/sl+5.jpg" width="400" /></a></div>
Дальнейшие планы разработки требований озвучены не были, чтобы не подвергаться критике за то, что иногда заявленные сроки выхода документов не соблюдаются.<br />
<div class="MsoNoSpacing">
<o:p></o:p></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Поскольку после ввода в действие новых требований к МЭ возникло много вопросов, ФСТЭК готовит по этому поводу специальное инф. Сообщение, в котором будут разъяснены следующие вопросы:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHwGMp2cAvqRcUaJXuq8jIB7aYbSvAre6MTaz712pNGqzySOyilsgi6shxrp5RCO7uwfP2Z5MjTZoQy8F2RlLhblyiR3WzGQG-6CTDWUmXHYz7zv7nrJbRh-wvY3W2h6SG81LHSrWuA7sj/s1600/sl+6.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="301" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHwGMp2cAvqRcUaJXuq8jIB7aYbSvAre6MTaz712pNGqzySOyilsgi6shxrp5RCO7uwfP2Z5MjTZoQy8F2RlLhblyiR3WzGQG-6CTDWUmXHYz7zv7nrJbRh-wvY3W2h6SG81LHSrWuA7sj/s400/sl+6.jpg" width="400" /></a></div>
<div class="MsoNoSpacing">
Разумеется, находящиеся сейчас в эксплуатации МЭ, сертифицированные по требованиям 1997 года можно использовать до окончания срока действия сертификата. Продлять такие сертификаты ФСТЭК будет в индивидуальном порядке при условии отсутствия в них актуальных уязвимостей.<o:p></o:p></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Так же в презентации показано, какие МЭ уже получили сертификаты на соответствие новым требованиям:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRmEV8Ku7ZvI8wFcmDXcXQa-utTaj7SZjVyuAP6m0OAOjK_J7kL7Y3BUvKAQx2J5wwHvaMx00QIqfNmYXbIDot92I6zqbNyvAbvN4CwxNK8zIystYBg3AVgE9YZW49N7pqAhNKDn-agmot/s1600/sl+7.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="296" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRmEV8Ku7ZvI8wFcmDXcXQa-utTaj7SZjVyuAP6m0OAOjK_J7kL7Y3BUvKAQx2J5wwHvaMx00QIqfNmYXbIDot92I6zqbNyvAbvN4CwxNK8zIystYBg3AVgE9YZW49N7pqAhNKDn-agmot/s400/sl+7.jpg" width="400" /></a></div>
В настоящее время процедуру сертификации проходит еще ряд продуктов.<br />
<br />
<div class="MsoNoSpacing">
<o:p></o:p></div>
<div class="MsoNoSpacing">
Что больше всего беспокоит ФСТЭК в области сертификации и эксплуатации СЗИ? Этому посвящен следующий слайд:</div>
<a name='more'></a><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBHA55iQ_yiNysnEJutpsOWO9Ra_u-Nm8vX8sEQb3XLXhvdwbUVlXTwV80REdqpaKZc1RNlzbwkB6XIO57u8PeOeFhoey7qz0LRRw__hW_EW3KCLPlw8BjbMJsl4UgO9MAVfximOGblAa0/s1600/sl+8.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="296" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBHA55iQ_yiNysnEJutpsOWO9Ra_u-Nm8vX8sEQb3XLXhvdwbUVlXTwV80REdqpaKZc1RNlzbwkB6XIO57u8PeOeFhoey7qz0LRRw__hW_EW3KCLPlw8BjbMJsl4UgO9MAVfximOGblAa0/s400/sl+8.jpg" width="400" /></a></div>
Еще по прошлым конференциям мы знаем, что регулятор занимает жесткую позицию в отношении поддержки производителями сертифицированных продуктов. Об обязанности устранения уязвимостей в них писалось уже много. Представитель ФСТЭК отметил, что будет оцениваться даже качество техподдержки производителя СЗИ. Озвучена рекомендация информировать ФСТЭК о случаях, когда техподдержка месяцами не дает ответы на вопросы, которые задают эксплуатанты СЗИ. Т.о., с техподдержкой СЗИ ФСТЭК так же намерена навести порядок.<br />
<div class="MsoNoSpacing">
<o:p></o:p></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Д.Н. Шевцов перечислил основные недостатки разработки и эксплуатации СЗИ:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhV2nVYckoUnMsgMEfu2DGO6l0kJXNf58S6EtztDPxQYkxCdY1lI1a1PXgTIrIj8AcgP1SW17KXW9f_oLS1eQShbL_1Ga3yae0rnYoAgMcqknq2fOUCR9avw406J0fTH4o9shEXmeOg_vE-/s1600/sl+10.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="295" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhV2nVYckoUnMsgMEfu2DGO6l0kJXNf58S6EtztDPxQYkxCdY1lI1a1PXgTIrIj8AcgP1SW17KXW9f_oLS1eQShbL_1Ga3yae0rnYoAgMcqknq2fOUCR9avw406J0fTH4o9shEXmeOg_vE-/s400/sl+10.jpg" width="400" /></a></div>
Как видим, и разработчики СЗИ и операторы ИС должны регламентировать порядок устранения уязвимостей в своих организационно-распорядительных документах. Операторы ИС, кроме того, должны регламентировать и процедуры обновления СЗИ. Т.е. «по наитию», в рабочем порядке, эти вопросы решаться не должны: должна быть определена внутренняя процедура.<br />
<div class="MsoNoSpacing">
<o:p></o:p></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
На слайде 11 показана последовательность действий участников системы сертификации по устранению уязвимостей в СЗИ:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSE84i1ciLhWObhXObjDRqhA-bDfTybo8uCCms7Mm3W1T9kgCwrdiygPEMa5W53pO6BhYsfySPosZbILs70nxjO584P8TGbFIClv-dkmpA4nVn3ZKQhUPpaLMO4eQRRNCfdEiCl9WKWPJO/s1600/sl+11.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="295" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSE84i1ciLhWObhXObjDRqhA-bDfTybo8uCCms7Mm3W1T9kgCwrdiygPEMa5W53pO6BhYsfySPosZbILs70nxjO584P8TGbFIClv-dkmpA4nVn3ZKQhUPpaLMO4eQRRNCfdEiCl9WKWPJO/s400/sl+11.jpg" width="400" /></a></div>
Напомнил докладчик и об утверждении нового ГОСТ по разработке безопасного ПО (о нем я, кстати, уже <a href="http://alexgerm.blogspot.ru/2016/10/blog-post_16.html">писал</a>):<br />
<br />
<div class="MsoNoSpacing">
<o:p></o:p></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg0OuAo8nxQzJlHDNgW0g8mkPXfpqyoJWVX78JyQXV1aOtDTax5rhyjA8C5t0wqLxDl9b0jlSjlYOOzrSw9IPB7n_dvq51nZ4Qij_tlD5Jm0-zAfVaTUfBLfjp_qq2Q7yRQjExkeqQJVqf8/s1600/sl+12.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="297" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg0OuAo8nxQzJlHDNgW0g8mkPXfpqyoJWVX78JyQXV1aOtDTax5rhyjA8C5t0wqLxDl9b0jlSjlYOOzrSw9IPB7n_dvq51nZ4Qij_tlD5Jm0-zAfVaTUfBLfjp_qq2Q7yRQjExkeqQJVqf8/s400/sl+12.jpg" width="400" /></a></div>
<div class="MsoNoSpacing">
<o:p> </o:p>Этим стандартом должны руководствоваться разработчики, желающие пройти сертификацию во ФСТЭК России.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
<o:p></o:p></div>
<br />
<div class="MsoNoSpacing">
Кроме того, ФСТЭК подготовила проект методического документа по вопросам анализа уязвимостей и НДВ в ПО СЗИ. В нем будут определены следующие вопросы:</div>
<div style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirPZ7V33Owy8wekC-7kUix24Rksd54vgsHSvRw5zJZtPyrsAwbKFYOgry4O4xdF_TPP3Uf7VgRskKAmBevNb3kZmR_a7QVrvmnQXWXQXKOIPd9HE5tMO0SyBhjWOkBH94vea8X_pN0nz-J/s1600/sl+14.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em; text-align: center;"><img border="0" height="302" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirPZ7V33Owy8wekC-7kUix24Rksd54vgsHSvRw5zJZtPyrsAwbKFYOgry4O4xdF_TPP3Uf7VgRskKAmBevNb3kZmR_a7QVrvmnQXWXQXKOIPd9HE5tMO0SyBhjWOkBH94vea8X_pN0nz-J/s400/sl+14.jpg" width="400" /></a></div>
<div class="MsoNoSpacing">
Если я не ошибаюсь, такой слайд мы уже видели на прошлой конференции, однако на сегодняшний день документ практически готов к утверждению.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Конечно, следует сказать спасибо ФСТЭК за готовность к диалогу и стремление разъяснить представителям отрасли свою позицию. Мне кажется, только такой подход и дает право называть любой ФОИВ не надзирателем, а именно регулятором конкретной области.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
<br /></div>
</div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-63198885463851137482017-02-12T08:47:00.000-08:002017-02-12T09:20:40.712-08:00"Особенности" получения лицензий ФСТЭК<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNoSpacing">
На прошедшей 8 февраля конференции «Актуальные вопросы
защиты информации» немало внимания было уделено вопросам получения лицензий
ФСТЭК. Представители регулятора объясняли суть изменений, внесенных в
Постановления Правительства РФ №79 и №171. Начальник отдела лицензирования Н.И.
Мищенко подробно рассказал о новых требованиях к специалистам, наличие которых
обязательно для получения лицензии, о появившемся новом виде услуг по мониторингу
ИБ. В новой редакции 79-го постановления четко определено, какие виды работ
организации могут выполнять для собственных нужд без лицензии, а на какие
работы необходимо получать лицензию даже «для себя». <o:p></o:p></div>
<div class="MsoNoSpacing">
В выступлении Н.И. Мищенко чувствовалось желание сделать
вопросы, касающиеся лицензирования, более понятными для соискателей. Представитель
ФСТЭК рекомендовал обращаться за консультациями в управления ФСТЭК по
Федеральным округам или в отдел лицензирования центрального аппарата и обещал помощь
со стороны своих подчиненных. Более того, ФСТЭК готовит специальные методические
рекомендации, в которых процедура подготовки организаций к получению лицензий
будет расписана подробно. За стремление облегчить участь соискателей и сделать
процедуру лицензирования прозрачной и понятной хочется сказать ФСТЭК России спасибо.<o:p></o:p></div>
<div class="MsoNoSpacing">
Не обошлось, конечно, и без «ложки дегтя». </div>
<a name='more'></a>Дело в том,
что для получения лицензии организация должна иметь специалистов, имеющих стаж
работы «в области проводимых работ». Т.е. если заявитель хочет иметь лицензию
на мониторинг ИБ, то он должен подтвердить стаж работы трех своих сотрудников
именно в этой области. На вопрос «что должно быть написано в документах,
подтверждающих наличие стажа в области мониторинга?» (т.е. в трудовом договоре, трудовой
книжке и т.п.) Николай Иванович четко ответить не смог, пообещав разобраться (замечу,
что такая же проблема возникает и при выборе других видов работ, например, контроля
защищенности. В трудовых книжках, конечно, не пишут, что человек занимал
должность «контроллера защищенности». А как доказать, что он проводил работы
именно в этой области?)<o:p></o:p><br />
<br />
<div class="MsoNoSpacing">
И еще один вопрос стал для начальника отдела
лицензирования неожиданностью. При заказе документов с пометкой «дсп» от
заявителя часто требуют копию лицензии на право проведения работ со сведениями,
составляющими гос. тайну. С какого перепуга? Зачем для получения дсп-документов
нужна лицензия на гос. тайну?? Постановление Правительства 1233 разрешает
пересылать их обычной почтой заказным или ценным письмом. Но на практике часто
требуют указать именно адрес секретной переписки и копию лицензии на ГТ, которой у соискателя лицензии на ТЗКИ обычно
нет. Скорее всего, это «перегибы на местах» или просто дремучая
некомпетентность отдельных должностных лиц, которая портит всю полезную работу,
проводимую регулятором в этой области. Будем надеяться, что хотя бы до июня
этого года данное недоразумение наконец разрешится и руководство ФСТЭК
разъяснит подчиненным, чем отличается служебная информация от секретной.<o:p></o:p></div>
</div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-9064589534989537782017-01-09T01:03:00.002-08:002017-01-09T01:03:57.426-08:00Сколько ждать обещанного?<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNoSpacing">
Если не ошибаюсь, методические документы, посвященные
выполнению требований 17-го приказа, ФСТЭК впервые пообещала 15 июля 2013 г. Обещанного
принято ждать 3 года, а в данном случае прошло уже 3,5. Сколько же еще ждать?</div>
<div class="MsoNoSpacing">
Из общения с коллегами из ФСТЭК пришел я к такому выводу.
</div>
<div class="MsoNoSpacing">
Методические документы (по разработке МУ, по аттестации
ИС, по обновлению ПО, по выявлению уязвимостей) практически готовы. Задержка с
их утверждением обусловлена тем, что ФСТЭК намерена расширить сферу применения
самого 17-го приказа: по требованиям приказа нужно будет защищать не только
информацию ограниченного доступа, обрабатываемую в ГИС, но весь государственный
информационный ресурс (в том числе общедоступный). Для такого расширения в
Федеральный закон от 2006г №149-ФЗ <span style="mso-spacerun: yes;"> </span>вносятся соответствующие поправки. Вслед за изменениями
в законе будет выпущена новая редакция 17-го приказа, а вслед за ней – и новые
методички. Вот такая схема.</div>
<div class="MsoNoSpacing">
Решение Правительства о внесении законопроекта в Госдуму
состоялось 10 декабря, представляет законопроект зам. директора ФСТЭК А.В. Куц.
<span style="mso-spacerun: yes;"> </span>Так что ждать осталось не так уж долго….</div>
<div class="MsoNoSpacing">
<br /></div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-84687347263215695722016-10-16T23:39:00.000-07:002016-10-16T23:39:02.528-07:00ГОСТ по разработке безопасного ПО<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Кроме ГОСТ Р 56938-2016, о
котором я писал в предыдущем посте, в тот же день, 1.06.2016 г утвержден еще один давно
обещанный ФСТЭК ГОСТ: <strong>ГОСТ Р <span style="mso-spacerun: yes;"> </span>56939-2016 «Защита
информации. Разработка безопасного программного обеспечения. Общие требования»</strong>.
</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Целью стандарта является предотвращение
появления и устранение уязвимостей программного обеспечения, возникающих в
процессе его разработки. ГОСТ «устанавливает общие требования к содержанию и
порядку выполнения работ, связанных с созданием безопасного (защищенного) ПО и
формированием среды обеспечения оперативного устранения выявленных
пользователями ошибок ПО и уязвимостей программы».</div>
<a name='more'></a><br /><div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Ядром стандарта является перечень
мер, которые рекомендуется реализовать на различных этапах жизненного цикла ПО:
от этапа анализа требований к разрабатываемому ПО до устранения проблем в
процессе эксплуатации ПО. Кроме того, приведены и меры, связанные с управлением
документацией на ПО и даже с обучением персонала.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Меры по разработке безопасного
ПО сведены в 9 групп:</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
1. Меры по разработке
безопасного ПО, реализуемые при выполнении анализа требований к ПО.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
2. Меры, реализуемые при
выполнении проектирования архитектуры программы.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
3. Меры по разработке
безопасного ПО, реализуемые при выполнении конструирования и комплексирования ПО.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
4. Меры, реализуемые при
выполнении квалификационного тестирования программного обеспечения.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
5. Меры, реализуемые при
выполнении инсталляции программы и поддержки приемки ПО.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
6. Меры, реализуемые при
решении проблем в ПО в процессе эксплуатации.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
7. Меры, реализуемые в
процессе менеджмента документацией и конфигурацией программы.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
8. Меры, реализуемые в
процессе менеджмента инфраструктурой среды разработки ПО.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
9. Меры, реализуемые в
процессе менеджмента людскими ресурсами.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
К каждой мере разработки
безопасного ПО предъявляется набор требований по их реализации.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Например, 6-я группа мер
фактически обязывает разработчика ПО отслеживать и исправлять ошибки и уязвимости
ПО, выполнять систематический поиск уязвимостей и даже взаимодействовать с
пользователем ПО. </div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
В частности, ГОСТ требует: «Разработчик
ПО должен предложить пользователю решение проблемы в ситуации, когда
неизвестная ранее уязвимость программы используется для проведения компьютерной
или сетевой атаки на информационную систему пользователя.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
… документация разработчика ПО
должна содержать описание методов приема и обработки сообщений от пользователей
в ситуациях, когда неизвестная ранее уязвимость программы используется для
проведения компьютерной или сетевой атаки на информационную систему
пользователя».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Поскольку стандарты в области
защиты информации с 1 июля <a href="http://alexgerm.blogspot.ru/2016/07/blog-post_96.html">стали обязательными</a>, данный ГОСТ фактически будет
выполнять роль руководящего документа для разработчиков ПО СЗИ. Испытательные лаборатории,
скорее всего, будут обязаны проверять выполнение требований стандарта в
процессе сертификации защищенного ПО.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Стандарт вступает в силу в июне 2016 г.</div>
</div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-48434566545256722182016-10-13T02:38:00.000-07:002016-10-13T03:50:19.831-07:00Новый ГОСТ от ФСТЭК<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
1 июня 2017 г вводится в
действие новый <b>ГОСТ Р 56938-2016 «Защита информации. Защита информации при
использовании технологий виртуализации. Общие положения»</b>. В стандарте приведена
терминология в области виртуализации, в частности, даны определения понятиям «виртуальная
инфраструктура», «виртуализация», «гипервизор» (введены три типа гипервизоров),
«виртуальная машина» и др. Наличие определений всегда полезно для единства
понимания ключевых терминов и уменьшения бесплодных дискуссий.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
</div>
<a name='more'></a>Определены <b>объекты защиты при
использовании технологий виртуализации</b>. К ним отнесены:<br />
<div class="MsoNoSpacing">
- средства создания и управления виртуальной инфраструктурой
(гипервизоры разных типов, системы хранения данных, консоль управления
виртуальной инфраструктурой и др.);<br />
- виртуальные вычислительные системы (ВМ, виртуальные сервера и др.);<br />
- виртуальные системы хранения данных;<br />
- виртуальные каналы передачи данных;<br />
- отдельные виртуальные устройства обработки, хранения и передачи данных
(виртуальные процессоры, виртуальные диски, виртуальная память, и др.);<br />
- виртуальные средства защиты информации и средства ЗИ, предназначенные
для использования в среде виртуализации;<br />
- периметр виртуальной инфраструктуры.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Далее в ГОСТ перечислены и
кратко описаны <b>18 угроз безопасности</b>, обусловленных использованием технологий
виртуализации. Данный раздел коррелирует с Банком данных угроз ФСТЭК.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Самое полезное, на мой взгляд –
<b>меры защиты информации</b> при использовании технологий виртуализации. Меры сведены
в группы, соответствующие объектам защиты (перечисленным выше). Набор мер защиты
в каждой группе, как указано в ГОСТ, определен для «наивысшего класса
защищенности от НСД». О каком классе идет речь – непонятно, поскольку в
руководящих документах ФСТЭК можно насчитать, по меньшей мере, 3 разных
классификации, не считая ИСПДн и ИС с общедоступной информацией.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
В приложении приведена весьма
коряво нарисованная типовая структура информационной системы, построенной с
использованием технологий виртуализации.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Что ж, скажем ФСТЭК спасибо за
ГОСТ. Лучше поздно, чем никогда (стандарт впервые был обещан еще в 2014 году).
Непонятно только, почему срок введения документа в действие отложили на целый
год.</div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-51446970341484671212016-09-07T05:45:00.000-07:002016-09-07T05:45:15.437-07:00Исключительно автоматизированные штрафы<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Недавние скандалы со штрафами
за пересечение тенью автомобиля сплошной линии разметки приоткрыли завесу над
тем, кто на самом деле принимает решение о наложении штрафа. В «письмах счастья»,
которые получают водители, написано, что решение о наложении штрафа принял,
якобы, старший лейтенант Пупкин. И даже факсимиле подписи Пупкина там имеется.
На деле же, как видим, решение принимает сама система. То есть автоматически.
Или как написано в законе «О персональных данных», «исключительно автоматизировано».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
А что еще по этому поводу
написано в законе? </div>
<a name='more'></a>А вот что:<br />
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
«<span style="mso-spacerun: yes;"> </span>1. Запрещается принятие на основании
исключительно автоматизированной обработки персональных данных решений,
порождающих юридические последствия в отношении субъекта персональных данных
или иным образом затрагивающих его права и законные интересы, за исключением
случаев, предусмотренных частью 2 настоящей статьи.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
2. Решение, порождающее
юридические последствия в отношении субъекта персональных данных или иным
образом затрагивающее его права и законные интересы, может быть принято на
основании исключительно автоматизированной обработки его персональных данных
только <u>при наличии согласия в письменной форме субъекта персональных данных
или в случаях, предусмотренных федеральными законами</u>, устанавливающими
также меры по обеспечению соблюдения прав и законных интересов субъекта
персональных данных.<span style="mso-spacerun: yes;"> </span>».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Никаких исключений из этой
нормы в законе нет. Даже для ГИБДД.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
В Федеральном законе №196-ФЗ «О
безопасности дорожного движения» <span style="mso-spacerun: yes;"> </span>не
наблюдается ни случаев исключительно автоматизированной обработки, ни мер по
обеспечению соблюдения прав и законных интересов субъектов ПДн. Следовательно,
ГИБДД нарушает закон «О персональных данных»: письменного согласия нет, а
исключительно автоматизированный штраф (т.е. юридические последствия) есть.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Думаю, что и раньше-то никто
особо не сомневался, что никакого Пупкина там нет. Но сейчас-то, после ряда
обнародованных фактов, неужели Роскомнадзор не ринется на защиту прав
субъектов? Он ведь день и ночь ищет факты нарушений закона….</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Что имеем? В общем-то, обычную
картину: один гос. орган нарушает закон, другой старательно делает вид, что
этого не замечает.</div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-72828294113780504522016-07-03T08:40:00.000-07:002016-07-03T08:40:52.313-07:00Обязательные справочники<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
Итак, свершилось: с 1 июля вступили силу ряд статей ФЗ «<a href="http://base.garant.ru/71108018/">О стандартизации в Российской Федерации</a>» (162-ФЗ). Следовательно, с 1 июля документы
по стандартизации «в отношении продукции (товаров, работ, услуг), используемой
в целях защиты сведений, составляющих гос. тайну или относимых к охраняемой в
соответствии с законодательством РФ иной информации ограниченного доступа»
применяются по принципу обязательности. Как это обычно бывает, после введения
новой законодательной нормы возникает ряд вопросов </div>
<a name='more'></a>(которые, как это обычно
бывает, неизвестно кому задавать):<br />
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
1. Какие документы по стандартизации
следует считать относящимися к <span style="mso-spacerun: yes;"> </span>продукции,
используемой в целях защиты сведений, составляющих ГТ или к информации
ограниченного доступа? Ну, со стандартами, разработанными техническим<span style="mso-spacerun: yes;"> </span>комитетом №362 «Защита информации», все ясно.
А еще какие? Скажем, стандарты по электромагнитной совместимости? А по
испытаниям? А по проектированию? Скорее всего, их тоже придется считать
обязательными при выполнении работ по ИБ.</div>
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
2. Как быть с международными
стандартами по ИБ, которые введены в действие в РФ? Скажем, ИСО/МЭК серии
27000. Они что, тоже обязательны? Для всех? Любая организация теперь может
управлять своей информационной безопасностью только так, как написано в этих
ИСО/МЭК? Интересно будет посмотреть, особенно на объекты с гос. тайной, хе-хе.</div>
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
3. А что теперь с менеджментом
качества? Если кто-то решил управлять качеством мероприятий/услуг по ИБ, то
нужно непременно внедрять ИСО 9001?? Или все-таки разрешат сделать по-своему? А
у кого спрашивать разрешения?</div>
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
4. Требования к аудиту и
аудиторам по ИБ тоже, надо полагать, должны соответствовать международным
стандартам?</div>
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
<br /></div>
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
Это, разумеется, не все
вопросы, но перечислять их дальше особого смысла нет: внятного ответа от
регуляторов ждать не приходится.</div>
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
Замечу еще вот что: статься 4
ФЗ-162 говорит об обязательности не только стандартов, а <u>документов по
стандартизации</u>. А к ним Закон относит: </div>
<div class="MsoNoSpacing" style="margin-left: 54.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span>национальный стандарт (в том числе
основополагающий национальный стандарт);</div>
<div class="MsoNoSpacing" style="margin-left: 54.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span>предварительный национальный стандарт;</div>
<div class="MsoNoSpacing" style="margin-left: 54.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span>правила стандартизации;</div>
<div class="MsoNoSpacing" style="margin-left: 54.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span>рекомендации по стандартизации;</div>
<div class="MsoNoSpacing" style="margin-left: 54.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="font-family: "symbol"; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span>информационно-технические справочники.</div>
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
Все это в сфере защиты
информации теперь применяется в обязательном порядке. Обязательные справочники!
ФСТЭК будет что проверять в ходе мероприятий по гос. контролю!</div>
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
<br /></div>
<div class="MsoNoSpacing" style="margin-left: 18.0pt;">
Отдельно хочется порадоваться
за органы по аттестации, у которых теперь целых три обязательных формы аттестата
соответствия, и <span style="mso-spacerun: yes;"> </span>все три разные. Какую
форму не выбери – все равно могут сказать, что неправильно: «не по ГОСТ».</div>
</div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-4756588804772072592016-02-15T01:27:00.000-08:002016-02-15T02:43:19.135-08:00Всё начнется с начала<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
О прошедшем на прошлой неделе ТБ-форуме коллеги уже рассказали
(и, надеюсь, расскажут еще).</div>
<div class="MsoNoSpacing">
Приятно, что ФСТЭК делится с общественностью своими
планами и просто точкой зрения.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
В практике исполнения Приказа №17 накопилось много
вопросов, на которые нет ответов в нормативке, а <a href="http://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/716-informatsionnoe-soobshchenie-fstek-rossii-1">обещанные</a> еще в 2013 (!) году
методички так и не появились. </div>
<div class="MsoNoSpacing">
Что имеем на практике?</div>
<div class="MsoNoSpacing">
По-прежнему нет внятного ответа на пресловутый вопрос «что
такое ГИС?», есть только мнения управлений ФСТЭК по федеральным округам
(причем, мнения эти могут меняться). Планируемые поправки в 149-ФЗ может и
внесут ясность в этот вопрос, но создадут другой: где взять деньги на
аттестацию всего и вся? Надежды на то, что низший класс ГИС можно будет
аттестовать «проще» вряд ли обоснованы: те же руководители управлений ФСТЭК в
ФО займут позицию «Никаких низших классов, аттестовать все по максимуму. Это же
госинформресурс!».</div>
<div class="MsoNoSpacing">
</div>
<a name='more'></a><br />
Ладно, мы не против аттестации всех госкомпьютеров. Но
где давно обещанная методичка «Порядок аттестации ИС»? Аттестаторы до сих пор
не понимают, какие документы требуется разрабатывать на аттестуемую ГИС и что
писать в методике аттестационных испытаний.<br />
<div class="MsoNoSpacing">
Нужен ли тех. паспорт, и если нужен, какова его форма.
Форма ТП приведена в СТР-К, но там не только все ОТСС нужно расписать по
заводским номерам, но и ВТСС тоже. Представьте техпаспорт на федеральную ГИС, в
которую входит несколько тысяч АРМ, а в помещениях находятся кондиционеры,
микроволновки и прочие чайники. Любой проверяющий вправе требовать, чтобы все
это было вписано в техпаспорт. Не надо вписывать? Докажите!</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
С методикой аттестации еще хуже. Формы методик из ГОСТов по
аттестации для ГИС явно не подходят, а других нет. Изобретать самими? Это можно, но
опять же любой проверяющий вправе сказать, что методика неверна. А какая верна,
как надо делать? «Не знаю как, но не так» (с). Надо делать по ГОСТ, в нем ведь
не оговорена возможность разработки собственной методики (правда, заточен он на
РД АС и для ГИС малополезен).</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Вот еще вопросы, возникающие в практике работы аттестаторов:</div>
<div class="MsoNoSpacing">
<br />
<br />
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span>Нужен
ли перечень сведений конф. характера?</div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";"> </span></span></span>Нужно
ли описание технологического процесса ИС?</div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";"> </span></span></span>Нужно
ли показывать схемы коммуникаций в помещениях, где эксплуатируется АС (а если
не нужно, как доказать неактуальность угроз утечек по тех. каналам?).</div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";"> </span></span></span>Нужно
ли предоставлять материалы предварительных испытаний, опытной эксплуатации и приёмочных
испытаний? (Приказ этого требует, но проведение всех видов испытаний, а после
этого еще и аттестационных, резко удорожает стоимость работ, даже в ГТ этого не
требуют).</div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt "Times New Roman";"> </span></span></span>И
очень важный вопрос: требуется ли ежегодный контроль аттестованной ГИС и кто
его может выполнить? В приказе об этом ничего, а вот ГОСТ однозначно обязывает
его проводить. И как показывает практика, представители ФСТЭК всегда требуют
делать то, что написано в ГОСТ (не смотря на его «рекомендательность»).</div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-list: Ignore;">6.<span style="font: 7.0pt "Times New Roman";"> </span></span></span>Как
отразить в методике испытаний и в самом Аттестате результаты анализа
защищенности?</div>
<br /></div>
<div class="MsoNoSpacing">
Приказу 17 скоро 3 года и народ кое-как приноровился его
выполнять, в том смысле, что в отсутствие обещанных методичек (см. <a href="http://tbforum.ru/2014/conferenceprogram/fstek-conf/">материалыТБ-форума-2014</a>) сложилась определенная практика выполнения его требований. Что
мы получим с выходом новой редакции 17-го приказа? Сложившаяся практика будет
сломана, а как выполнять новые требования – спросить, как обычно, будет не у
кого. Все начнется с начала.<br />
<br /></div>
</div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-90377058823711644472016-01-11T01:20:00.000-08:002016-01-11T01:35:02.382-08:00Роль и место ИБ в новой Стратегии нац. безопасности РФ<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
В канун Нового года Президент
утвердил новую <a href="http://www.consultant.ru/document/cons_doc_LAW_191669/">Стратегию национальной безопасности РФ</a> (взамен Стратегии НБ РФ
до 2020 г, т.е. 2020 года решено не дожидаться). Вообще-то эксперты предрекали
утверждение новой Доктрины информационной безопасности, но Президент, как
водится, поступил неожиданно, хотя и более логично: Доктрина ИБ должна вытекать
из Стратегии НБ, а не наоборот.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
Поскольку информационная
безопасность – одна из компонент нац. безопасности, в «Стратегии …» можно найти
несколько пунктов, прямо или косвенно относящихся к вопросам ИБ. Давайте
вкратце посмотрим, что говорит «Стратегия …» об ИБ, а заодно и об
информационных технологиях.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
</div>
<a name='more'></a>1. «Национальная безопасность
включает в себя оборону страны и все виды безопасности, предусмотренные
Конституцией РФ и законодательством РФ, прежде всего государственную,
общественную, <b style="mso-bidi-font-weight: normal;">информационную</b>,
экологическую, экономическую, транспортную, энергетическую безопасность,
безопасность личности».<br />
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
2. «Все большее влияние на
характер международной обстановки оказывает усиливающееся <b style="mso-bidi-font-weight: normal;">противоборство в глобальном информационном пространстве</b>,
обусловленное стремлением некоторых стран использовать информационные и
коммуникационные технологии для достижения своих геополитических целей…»</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
«Появляются новые формы
противоправной деятельности, в частности с использованием информационных,
коммуникационных и высоких технологий».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
(заметим, что в предыдущей «Стратегии…»
активно использовалось модное тогда понятие «информационное противоборство». В
новой «Стратегии …» оно отсутствует).</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
3. К основным угрозам НБ
Стратегия относит, в том числе «разведывательную и иную деятельность
специальных служб и организаций иностранных государств, отдельных лиц, наносящую
ущерб национальным интересам», а так же «деятельность террористических и
экстремистских организаций, направленную на …. <b style="mso-bidi-font-weight: normal;">нарушение безопасности и устойчивости функционирования критической
информационной инфраструктуры РФ</b>».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
4. Одним из главных
направлений обеспечения безопасности определено «совершенствование правового
регулирования предупреждения преступности (<strong>в том числе в информационной сфере</strong>)».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
5. В целях обеспечения
государственной и общественной безопасности, кроме всего прочего, «совершенствуется
система выявления и анализа <b style="mso-bidi-font-weight: normal;">угроз в
информационной сфере</b>, противодействия им; принимаются меры для повышения
защищенности граждан и общества от деструктивного информационного воздействия
со стороны экстремистских и террористических организаций, иностранных
специальных служб и пропагандистских структур».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
6. Для противодействия угрозам
качеству жизни граждан органы государственной власти и органы местного
самоуправления во взаимодействии с институтами гражданского общества:</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
……</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
«обеспечивают <b style="mso-bidi-font-weight: normal;">развитие информационной инфраструктуры</b>,
доступность информации по различным вопросам социально-политической,
экономической и духовной жизни общества, равный доступ к государственным
услугам на всей территории РФ, в том числе с использованием информационных и
коммуникационных технологий».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
7. В области экономики одной
из главных стратегических угроз нац. безопасности является <b style="mso-bidi-font-weight: normal;">уязвимость ее информационной инфраструктуры</b>.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
8. При обеспечении
экономической безопасности «необходимы активные меры по …. государственной
защите российских производителей, осуществляющих деятельность в области
военной, продовольственной, <b style="mso-bidi-font-weight: normal;">информационной</b>
и энергетической <b style="mso-bidi-font-weight: normal;">безопасности</b>».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
9. Развитие ОДКБ должно
привести, в том числе и к ее способности <b style="mso-bidi-font-weight: normal;">противостоять
угрозам в информационной сфере</b>.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
10. В целях сохранения
стратегической стабильности Российская Федерация:</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
……..</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
«содействует формированию
системы <b style="mso-bidi-font-weight: normal;">международной информационной
безопасности</b>».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
11. «Информационную основу реализации
настоящей Стратегии составляет <b style="mso-bidi-font-weight: normal;">федеральная
информационная система стратегического планирования</b>, включающая в себя
информационные ресурсы органов государственной власти и органов местного
самоуправления, системы распределенных ситуационных центров и государственных
научных организаций». (Оказывается, у нас есть и такая федеральная ГИС? Или это
просто смесь ГИС с гос. научными организациями?).</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
12. «При реализации настоящей
Стратегии особое внимание уделяется обеспечению <b style="mso-bidi-font-weight: normal;">информационной безопасности</b> с учетом стратегических национальных
приоритетов».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
В общем-то немного, хотя в «старой»
Стратегии вопросам ИБ уделялось примерно столько же внимания, хотя некоторые
формулировки «старой» Стратегии были более конкретными. Например (см. Указ
Президента 2009 г №537, уже отмененный): «Угрозы информационной безопасности в
ходе реализации настоящей Стратегии предотвращаются за счет совершенствования
безопасности функционирования информационных и телекоммуникационных систем
критически важных объектов инфраструктуры и объектов повышенной опасности в РФ,
повышения уровня защищенности корпоративных и индивидуальных информационных
систем, создания единой системы информационно-телекоммуникационной поддержки
нужд системы обеспечения национальной безопасности».</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
В новой Стратегии ни про корпоративные,
ни, тем более, про индивидуальные ИС ни слова.</div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
<br /></div>
<div class="MsoNoSpacing" style="text-indent: 21.3pt;">
И в заключении – об обязательности
«Стратегии…»: «Положения настоящей Стратегии <b style="mso-bidi-font-weight: normal;">обязательны для выполнения всеми органами гос. власти и органами
местного самоуправления</b> и являются основой для разработки и корректировки
документов стратегического планирования и программ в области обеспечения
национальной безопасности и социально-экономического развития РФ, а также
документов, касающихся деятельности органов гос. власти и органов местного
самоуправления».</div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-21852468766213571622015-08-26T07:07:00.000-07:002015-08-26T07:18:41.125-07:00А почему нельзя?<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
Специалисты уже давно и много говорят о том, как
нехорошо, когда госчиновники используют для служебной переписки зарубежные
почтовые сервисы. А сегодня, выступая во Владивостоке, об этом в очередной раз
<a href="http://fedpress.ru/news/polit_vlast/news_polit/1440578658-patrushev-k-chinovnikam-ispolzuyushchim-google-i-yahoo-nuzhno-prinyat-mery">повторил</a> и секретарь Совбеза РФ. И даже призвал наказывать чиновников за пользование Google,
Yahoo, WhatsApp и других вредоносных сервисов.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
С точки зрения ИБ, г-н Патрушев абсолютно прав: из каждого
американского софта торчат (ну, или потенциально могут торчать) уши Обамы. С
этим не поспоришь. А как обстоит дело в юридической плоскости? Что нарушает
чиновник, заводя себе почту на <span lang="EN-US" style="mso-ansi-language: EN-US;">gmail</span>.<span lang="EN-US" style="mso-ansi-language: EN-US;">com</span>? Какие сведения могут
стать доступными врагу?</div>
<div class="MsoNoSpacing">
</div>
<a name='more'></a><br />
<br />
<div class="MsoNoSpacing">
Если это гостайна, то ни о какой электронной почте речи идти,
понятно, не может: есть конкретные требования по технической защите гостайны.
Тут все ясно и запрещено написанными на бумаге требованиями.</div>
<div class="MsoNoSpacing">
Что еще? Персданные? Хорошо, к их защите есть конкретные
требования, которые нужно выполнять.</div>
<div class="MsoNoSpacing">
Какую еще информацию нельзя передавать по электронной
почте или вообще в открытом виде? Служебную тайну? Но сначала нужно узнать, что
это такое, а потом узнать, по каким требованиям ее защищать. Закона нет,
требований тоже.</div>
<div class="MsoNoSpacing">
Сведения «ДСП»? Но в Постановлении Правительства №1233 ни
слова не сказано ни о технической защите, ни об электронной обработке (и
передаче) служебной информации ограниченного распространения. Там только о
бумажных документах.</div>
<div class="MsoNoSpacing">
Какая еще информация не должна попадать во вражеские
руки? Любая, с которой работает чиновник? Или не любая? Чем это определено? «Трехглавым»
законом (№149-ФЗ), напротив, определено, что информация о деятельности гос. органов
является <b style="mso-bidi-font-weight: normal;">общедоступной</b> и доступ к
ней не может быть ограничен. Одним из принципов правового регулирования
отношения в сфере информации является «<b style="mso-bidi-font-weight: normal;">открытость
информации о деятельности государственных органов и органов местного
самоуправления и свободный доступ к такой информации, кроме случаев, установленных
федеральными законами</b>» (ст. 3).</div>
<div class="MsoNoSpacing">
И далее ст.8: «Не может быть ограничен доступ к:</div>
<div class="MsoNoSpacing">
…</div>
<div class="MsoNoSpacing">
3) <b style="mso-bidi-font-weight: normal;">информации о
деятельности государственных органов и органов местного самоуправления, а также
об использовании бюджетных средств (за исключением сведений, составляющих государственную
или служебную тайну</b>)».</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Закона о служебной тайне нет, соответственно, кроме
гостайны, чиновник ничего скрывать не должен. Не имеет права. Даже от Обамы,
как это ни странно.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Но это по закону. Похоже, что избирательность исполнения
российских законов компенсирует не только их строгость, но и их мягкость. Если
нет закона – есть слова Большого Начальника, которые легко приобретают силу
закона. Решили, что <span lang="EN-US" style="mso-ansi-language: EN-US;">Yahoo</span> опасен, сказали об этом вслух – и можно наказывать. Людей накажут, а за что –
не объяснят. Вот и вся ИБ.</div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com2tag:blogger.com,1999:blog-6748112078469712241.post-67640003708074688292015-07-16T03:04:00.001-07:002015-07-16T03:15:37.363-07:00Новые требования к ГИС<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
Не смотря на ряд <span style="mso-spacerun: yes;"> </span>публикаций коллег на тему «Что такое
государственная информационная система» и «чем отличается ГИС от обычных ИС», понятие
«ГИС» по-прежнему остается достаточно размытым. Ряд специалистов и многие
представители регуляторов (ФСТЭК, Минкомсвязи) по-прежнему считают, что любой
компьютер, купленный за бюджетные деньги, есть ГИС. Доказать обратное, опираясь
на ФЗ-149 – сложно, а на Постановление Правительства 2012 г №644 – и вовсе
невозможно. Совсем недавно обучавшиеся у меня <span style="mso-spacerun: yes;"> </span>коллеги из Дальневосточного ФО говорили, что
местная ФСТЭК считает все информационные системы государственных и даже
муниципальных (!) органов ГИС-ами и, как следствие, требует привести их в
соответствие Приказу 17. Почему требует, она, конечно, не объясняет.</div>
<div class="MsoNoSpacing">
<br />
<a name='more'></a><br /></div>
<div class="MsoNoSpacing">
Принятое на днях <a href="http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=182413">Постановление Правительства от 06 июля 2015 г №676</a> слегка уточняет понятие «ГИС». Во всяком случае, из него следует,
что<span style="mso-spacerun: yes;"> </span>«<i>основанием для создания системы
является:</i></div>
<i>
</i><br />
<div class="MsoNoSpacing">
<i>а) обязанность органа исполнительной власти по созданию
системы, предусмотренная нормативными правовыми актами;</i></div>
<i>
</i><br />
<div class="MsoNoSpacing">
<i>б) решение органа исполнительной власти о создании
системы с целью обеспечения реализации возложенных на него полномочий</i>».</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Т.о., просто так решить «а давайте-ка создадим ГИС, на
всякий случай…» теперь не получится. Не получится и «причислить к лику ГИС»
любую создаваемую в гос. органе локальную сеть.</div>
<div class="MsoNoSpacing">
Правда, закон обратной силы не имеет и ничто не помешает
регуляторам считать ранее созданные ИС государственными, даже если это всего
лишь компьютер в бухгалтерии администрации области (что нередко и происходит).</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Отметим, что по сравнению со своим проектом Постановление
676 получилось гораздо короче. Так, решение о создании ИС не нужно
согласовывать с Минкомсвязи и Счетной палатой (а проект этого требовал). Кроме
того, не отменяется Постановление Правительства 2009 г №793, (в соответствии с
которым ведется учет Федеральных ГИС). Т.е. Федеральные ГИС будут вводиться в эксплуатацию
сразу по двум постановлениям (это у нас любят). </div>
<div class="MsoNoSpacing">
Исчез так же пункт о безвозмездном гарантийном
обслуживании ГИС (что правильно, вряд ли нашлось бы много желающих выполнять
такое обслуживание).</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Если копнуть глубже, увидим, например, что новое
постановление очень упрощенно описывает порядок опытной эксплуатации ИС, а вот
ГОСТ 34.603 (на который ссылается Приказ 17) требует в ходе опытной
эксплуатации вести «Журнал опытной эксплуатации» и разрабатывать «Акт о
завершении опытной эксплуатации и допуске АС к приемочным испытаниям». Опять
оператор ГИС в дураках: в Постановлении написано одно, а в ГОСТе – другое.
Естественно, в ходе проверок будут требовать выполнения обоих документов,
слегка противоречащих друг другу.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Но все же в целом новое постановление – шаг вперед в
вопросе эксплуатации ГИС.</div>
</div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-72218866286326124372015-07-05T08:13:00.000-07:002015-07-05T08:13:37.690-07:00ГИС, ПЭМИН и иностранные спецслужбы<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNormal">
С высоких (и не очень) трибун представители ФСТЭК не раз
заявляли, что защищать ГИС от утечек по техническим каналам (в т.ч. от утечек
по каналам ПЭМИН) не обязательно. Заставлять оператора никто не будет, а
необходимость такой защиты целиком определяется наличием актуальной угрозы. Об
этом не раз писали и коллеги в своих блогах.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Но это с трибун и в блогах. А что на бумаге? Приказ 17 недвусмысленно
требует (см. п.25): «Выбранные и реализованные в информационной системе в
рамках ее системы защиты информации меры защиты информации должны обеспечивать:
в информационных системах 1 класса защищенности – нейтрализацию (блокирование)
угроз безопасности информации, связанных с действиями <b style="mso-bidi-font-weight: normal;">нарушителя с высоким потенциалом</b>». </div>
<a name='more'></a>Т.е. ГИС класса К1 должна быть
защищена от нарушителя с высоким потенциалом. А кто это такой? Из публиковавшегося
недавно проекта Методики определения угроз в ИС (о котором уже <a href="http://alexgerm.blogspot.ru/2015/05/blog-post_17.html">писал</a> и я, и
коллеги) ясно видно, что нарушитель с высоким потенциалом есть «<b style="mso-bidi-font-weight: normal;">специальные службы иностранных государств
(блоков государств)</b>». Кстати, о спецслужбах шла речь и в публиковавшемся
еще в 2014 г проекте нового ГОСТ «Защита информации. Информационные системы и
объекты информатизации. Угрозы безопасности информации. Общие положения». В нем
так же в качестве нарушителя с высоким потенциалом рассматриваются зарубежные
разведки, которые, как известно, могут и хотят реализовать любую угрозу.<br />
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Т.о., задача оператора ГИС весьма нетривиальна: доказать,
что нарушители с высоким потенциалом (т.е. иностранные разведки) неспособны и немотивированы
реализовывать угрозы утечки информации по тех. каналам, а будут
довольствоваться исключительно попытками проникновения в ИС из внешних сетей. В
противном случае угрозы УИТК станут актуальными со всеми вытекающими. На что
ссылаться? На значимость информации? Но если она не интересует спецслужбы,
зачем их тогда вообще включать в Методику? А если интересует, то какова должна
быть степень защиты от ПЭМИН? Из чего исходить? Ни оператор, ни лицензиат по
ТЗКИ не знают, какими возможностями обладают иностранные разведки, поскольку
они изложены в документах, имеющих гриф. От каких данных отталкиваться? От «Википедии»?
И, конечно, самый главный вопрос: <b style="mso-bidi-font-weight: normal;">как
доказать проверяющему из ФСТЭК, что ГИС защищена от иностранных спецслужб? </b>Какие
СЗИ в ней должны присутствовать?</div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-60460052069148685242015-05-17T03:26:00.001-07:002015-05-17T05:19:39.820-07:00Несколько слов о новой Методике ФСТЭК<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNoSpacing">
То, что ФСТЭК наконец-то сделала проект "<a href="http://fstec.ru/component/attachments/download/812">Методики определения угроз</a> ...", безусловно, хорошо. Наличие проекта Методики всяко лучше его
отсутствия, особенно с учетом того, как долго регулятор ее обещал…</div>
<div class="MsoNoSpacing">
Судя по <a href="http://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1003-informatsionnoe-soobshchenie-fstek-rossii-ot-7-maya-2015-g-n-240-22-1792">Информационному сообщению</a>, ФСТЭК ожидает мнений и
предложений по проекту Методики только от «специалистов в области
информационной безопасности заинтересованных органов государственной власти и
организаций», а мнение «неорганизованных» специалистов ей неинтересно. Ну и
ладно, напишем здесь.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
</div>
<a name='more'></a><div class="MsoNoSpacing">
Даже разовое прочтение документа указывает на его
основные недостатки: вольное обращение с терминологией и слабая
структурированность. Термины появляются абсолютно неожиданно.
Например, заявлено, что источниками угроз могут быть <b>субъекты</b> и <b>явления</b>. А чуть
позже внезапно речь заходит о нарушителях (вспомним, что на февральском
ТБ-форуме представитель ФСТЭК Е. Торбенко требовала в качестве источников угроз
рассматривать <b>нарушителей</b>, <b>вредоносные программы</b> и <b>аппаратные закладки</b>. Речь о
них, кстати, идет в «Базовой модели угроз», которую, как я понял, отменять
никто не собирается. Вот вам и противоречие в двух методических документах: в
одном источники угроз одни, в другом другие. Что теперь будет требовать регулятор?).</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Немножко далее по тексту появляется термин «актуальный
нарушитель» (!). Что это за зверь? Ответа нет (хотя есть догадки, но догадки у
каждого свои). Вообще, одни и те же понятия в разных местах документа
обозначены разными терминами, а это вносит путаницу.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Со структурой "Методики ..." тоже беда. Без вычерчивания на
бумаге логических блоков документа невозможно понять, где заканчивается
разговор, скажем, о видах ущерба и начинается разговор о степени негативных последствий.
Новый абзац и все, а правильнее было бы сделать новый подпункт. А еще правильнее - нарисовать структурно-логическую схему построения Модели угроз.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Но самый большой сюрприз ожидает читателя на стр.25. Там
заявлено, что «ввод в эксплуатацию информационной системы осуществляется <b>при
условии достижения высокого уровня исходной защищенности информационной системы</b>
от нарушителя с заданным потенциалом». А эта самая степень определяется по таблице
3 (стр.22). Из таблицы видно, что добиться этого высокого уровня <u>в принципе
невозможно</u>, поскольку уровню «высокий» может соответствовать не более половины
указанных в таблице характеристик системы, а нужно, чтобы соответствовало не
менее<span style="mso-spacerun: yes;"> </span>80%! Проще говоря, спроектировать систему с высоким уровнем защищенности (судя по табл.3) в принципе невозможно.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Очень смутная картина и с пересмотром угроз. Скажем,
угрозы следует обязательно пересматривать «при появлении сведений и фактов о
новых возможностях нарушителя». Пример: пользователь ИС прошел курсы повышения
квалификации по направлению «информационная безопасность». Его возможности, как
нарушителя, повысились? Несомненно. Следовательно, нужно пересматривать угрозы
безопасности. И т.д.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Я отметил только несколько бросившихся в глаза
недостатков, писать обо всех – значит размахнуться на большую статью, которую
ФСТЭК читать все равно не будет. Будем надеяться, что «специалисты
заинтересованных организаций» тоже укажут авторам методики на эти недостатки.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
А пока на методику документ не тянет, максимум –
на организационно-методические указания.</div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-80232289719778317912015-02-26T00:40:00.000-08:002015-02-26T00:40:59.258-08:00О "бумажной" защите ГИС<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">На
прошедшем недавно форуме «Технологии безопасности» представители ФСТЭК
пояснили, что при аттестации ГИС должна быть подтверждена, в том числе, и
разработка оператором системы документов, регламентирующих процедуры защиты
информации в ходе эксплуатации ИС. Возникает вопрос, сколько и каких документов
должен разработать оператор и от чего это зависит?</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">В
методическом<span style="mso-spacerun: yes;"> </span>документе «<a href="http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument">Меры защитыинформации в государственных информационных системах</a>» характеристика многих мер
заканчивается словами: «Правила и процедуры … регламентируются в
организационно-распорядительных документах оператора».</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Сколько
таких мер? Это зависит от класса ГИС. Например, в ГИС класса К3 я насчитал ни
много, ни мало 34 меры, требующие описания правил и процедур своей реализации в
ОРД оператора. Возможно, что-то упустил, но список все равно внушительный. Если
кому не лень – читайте (в список не включены меры из группы «ЗСВ»).</span></div>
<a name='more'></a><br />
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры идентификации и аутентификации внутренних и внешних пользователей.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры идентификации и аутентификации<span style="mso-spacerun: yes;">
</span>устройств.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры управления идентификаторами.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры управления средствами аутентификации (в том числе определение
должностного лица, ответственного за хранение, выдачу, инициализацию, блокирование
средств аутентификации).</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры управления учетными записями пользователей.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
разграничения доступа.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры управления информационными потоками.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Полномочия,
права и привилегии пользователей, администраторов и запускаемых от их имени
процессов, а так же лиц, обеспечивающих функционирование ИС.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Роли
или должностные обязанности, а также объекты доступа, в отношении которых
установлен наименьший уровень привилегий.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры блокирования сеансов доступа пользователя после установленного
оператором времени его бездействия в ИС.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Перечень
действий пользователей, разрешенных до прохождения ими процедур идентификации и
аутентификации.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры применения удаленного доступа.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры применения технологий беспроводного доступа.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры применения мобильных технических средств.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры управления взаимодействием с внешними ИС.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры управления установкой компонентов программного обеспечения (в том
числе состав и конфигурация подлежащих установке компонентов, параметры
установки, параметры настройки компонентов программного обеспечения).</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Документ
по учету носителей информации (например, журнал).</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры доступа к машинным носителям информации (в т.ч. перечень
должностных лиц, имеющих право такого доступа).</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Процедуры
уничтожения (стирания) информации на машинных носителях.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Состав
и содержание событий безопасности, подлежащих регистрации в ИС (вход/выход
субъектов доступа в ИС, подключение МНИ и вывод на них <span style="mso-spacerun: yes;"> </span>информации, <span style="mso-spacerun: yes;"> </span>запуск/завершение программ и процессов, и др).</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Состав
и содержание информации о событиях безопасности, подлежащих регистрации в ИС
(тип события, даты и время, идентификационная информации источника события и
др.).</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры сбора, записи и хранения информации о событиях безопасности (время
хранения информации о событиях, объем памяти для хранения и др.).</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры реагирования на сбои при регистрации событий безопасности</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры мониторинга результатов регистрации событий безопасности (в том числе
периодичность просмотра событий безопасности и реагирование на инциденты ИБ).</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры защиты информации о событиях безопасности.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры антивирусной защиты ИС и обновления базы данных признаков
вредоносных компьютерных программ.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры выявления, анализа и устранения уязвимостей.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры контроля установки обновлений программного обеспечения.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры восстановления ПО (в т.ч. планы по действиям персонала и порядок
применения компенсирующих мер).</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Границы
контролируемой зоны.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры контроля и управления физическим доступом к техническим средствам, СЗИ,
средствам обеспечения функционирования, а также в помещения и сооружения, в
которых они установлены.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Перечень
периферийных устройств, для которых допускается возможность удаленной
активации.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры применения беспроводных соединений в ИС.</span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<span style="color: black; font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol; mso-themecolor: text1;"><span style="mso-list: Ignore;">-<span style="font: 7.0pt "Times New Roman";">
</span></span></span><span style="color: black; mso-themecolor: text1;">Правила
и процедуры защиты мобильных технических средств.</span></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Конечно,
при отсутствии каких-то технологий (например, беспроводного доступа) документов
получится немножко меньше, но поработать все же придется. Разумеется, в классе
К1 этот список получится гораздо больше, а уж что писать в этих самых «правилах
и процедурах» и как правильно называть эти документы – зависит от особенностей
конкретной ИС и потребностей оператора. А лицензиаты смогут неплохо заработать
на «бумажной защите».</span></div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com2tag:blogger.com,1999:blog-6748112078469712241.post-65044851181754705992014-10-23T07:13:00.000-07:002014-10-23T07:31:36.360-07:00"Личные, семейные и домашние нужды"<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Что такое «личные
и семейные нужды»? Эту формулировку мы часто встречаем в наших нормативных
актах, но куда реже встречаем ее содержание.</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Как
известно, летом вступили в силу поправки в ФЗ-149, обязывающие <b style="mso-bidi-font-weight: normal;">Организаторов распространения информации в
сети "Интернет"</b> уведомить Роскомнадзор о начале осуществления
такой деятельности. Законодатель милостиво позволил </span></div>
<a name='more'></a>не подавать такое
уведомление гражданам (физическим лицам), в случае если такая деятельность «<u><span style="color: black; mso-themecolor: text1;">осуществляется
<span style="mso-spacerun: yes;"> </span>для личных, семейных и домашних нужд</span></u><span style="color: black; mso-themecolor: text1;">»
(ст. 10.1, ч.5<span style="mso-spacerun: yes;"> </span>ФЗ-149).</span><br />
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Чтобы
граждане не <strike>путали личную шерсть с государственной</strike> путались, Правительство приняло
специальное <b style="mso-bidi-font-weight: normal;">Постановление от 31 июля
2014 г. N 747</b> «О перечне личных, семейных и домашних нужд, удовлетворение
которых не влечет исполнения обязанностей, предусмотренных частями 2 - 4 статьи
10.1 Федерального закона "Об информации, информационных технологиях и о
защите информации». </span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Так что
это за нужды? Читаем:</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">1.
Потребности граждан, связанные с приобретением знаний, умений, навыков,
ценностных установок, опыта деятельности и компетенции в целях
интеллектуального, духовно-нравственного, культурного, творческого, физического
и (или) профессионального развития человека, удовлетворения его образовательных
потребностей и интересов (образовательные потребности).</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">2.
Потребности граждан, связанные с осуществлением деятельности, направленной на получение
и применение новых знаний (научные потребности).</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">3.
Потребности граждан, связанные с созданием результатов творческой деятельности,
в том числе программ для электронных вычислительных машин, включая внесение
изменений в указанные программы.</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">4.
Потребности граждан, связанные с приобретением товаров, работ, услуг, поиском
работников, размещением информации о вакансиях.</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">5.
Потребности граждан, связанные с ведением домашнего хозяйства, садоводства,
разведением животных и уходом за ними.</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">6. Потребности
граждан, связанные с получением информации о технических характеристиках и
потребительских свойствах товаров, качестве услуг, результатах работ.</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">7.
Потребности граждан, связанные с организацией досуга и (или) воспитанием детей.</span></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Очевидно,
что бесцельное торчание Вконтактике не подпадает под перечисленные выше пункты
и может привести к вопросу: надо или не надо уведомлять об этом торчании Роскомнадзор?</span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;"><br /></span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Теперь
попробуем понять, кто такие «<b>организаторы распространения информации в сети «Интернет»</b>.
Как указано в той же статье закона, это <b style="mso-bidi-font-weight: normal;">лица,
осуществляющие деятельность по обеспечению функционирования информационных
систем и (или) программ для электронных вычислительных машин, которые
предназначены и (или) используются для приема, передачи, доставки и (или)
обработки электронных сообщений пользователей сети "Интернет". </b>Как
видим, формулировка не оставляет шансов никому, кто хотя бы раз заходил в
Интернет. Таким образом, легко сделать вывод…. Точнее, регулятор может легко сделать
вывод о том, что лицо, без толку торчащее в соцсетях и выкладывающее там свои
селфики, обязано уведомить Роскомнадзор </span>о<span style="color: black; mso-themecolor: text1;"> </span><strike><span style="color: black; mso-themecolor: text1;">своем торчании</span></strike><span style="color: black; mso-themecolor: text1;"> начале осуществления
такой деятельности.</span></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">А для тех,
кто является юридическим лицом, есть, как известно, <b style="mso-bidi-font-weight: normal;">Постановление Правительства от 31 июля 2014 г. N 758</b>, определяющее
их обязанность <span style="mso-spacerun: yes;"> </span>передать оператору связи
сведения о пользователях, которым были оказаны "универсальные услуги связи по
передаче данных и предоставлению доступа к сети "Интернет". </span></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Поскольку формулировка
опять же размытая, то операторы связи уже рассылают своим абонентам письма с
просьбой предоставить им паспортные данные лиц, пользующихся Интернетом на их,
абонентов, территории. А это, как вы понимаете, все сотрудники юридического лица, имеющие
доступ в Сеть.</span></div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
<span style="color: black; mso-themecolor: text1;">Я понимаю,
что приведенные выше формулировки могут быть интерпретированы и иначе. Но
придется, как всегда, убеждать в своей правоте регулятора.</span></div>
<div class="MsoNoSpacing">
<br /></div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-38516503462314673542014-10-02T05:53:00.002-07:002014-10-02T05:53:23.995-07:00Как уйти от оценки соответствия СЗИ? <div dir="ltr" style="text-align: left;" trbidi="on">
Вокруг применения для защиты ПДн средств защиты, прошедших оценку соответствия, копий сломано немало. Сломаем еще одно, небольшое :)<br />
<br />
Как выполнить Приказ ФСТЭК №21 и в то же время обойтись не только без сертифицированных СЗИ, но и вовсе без СЗИ, прошедших оценку соответствия? Хотя бы частично? Постановление Правительства РФ 1119 обязывает применять прошедшие оценку соответствия СЗИ<strong> только</strong><strong> для защиты от актуальных угроз </strong>(см. п.13 Постановления). Стало быть, для реализации мер, изложенных в приказе ФСТЭК №21 (да и в приказе ФСБ №378) можно обойтись любыми СЗИ, если эта мера реализуется не в силу наличия актуальной угрозы, а просто потому, что определена приказом.<br />
Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь. Должно ли средство обнаружения вторжений быть сертифицированным (прошедшим испытания и пр...)? Должно, <u>только если угроза вторжений актуальна</u>. А если нет - насчет оценки соответствия в Постановлении ничего не сказано. Берем и ставим любое СОВ.<br />
Применим ли данный подход к СКЗИ? Теоретически да. Ставим несертифицированный VPN, делаем угрозу неактуальной, пишем сие в ЧМУ - и спим спокойно. Как вам идея?<br />
<br />
Остается только одна маленькая проблема: доказать свою правоту ФСБ :)<br />
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-71669889854155068572014-04-24T23:55:00.000-07:002014-04-25T00:04:16.400-07:00Новое от ФСТЭК<div dir="ltr" style="text-align: left;" trbidi="on">
ФСТЭК опубликовала новое информационное <a href="http://fstec.ru/rss-lenta/76-litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/inye/830-informatsionnoe-soobshchenie-fstek-rossii5-2">сообщение</a> <b>"О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации"</b>.<br />
<br />
Продолжная "лучшую практику" знакомства общественности со своей официальной точкой зрения, регулятор привел краткий обзор наиболее распространенных ошибок, которые допускают соискатели лицензий (особенно те, кто получет лицензию впервые и делает это самостоятельно). Как и следовало ожидать, наибольшие сложности возникают в случаях заключения договоров аренды на помещения, на контрольно-измерительное оборудование, а так же на подтверждение наличия на законном основании технической документации, нац. стандартов и методических документов (прежде всего "дсп"). Как ни странно, типичной ошибкой также является неправильно оформленное заявление о получении лицензии, хотя форма заявлений приведена в административных регламентах.<br />
Ну и еще из полезного: приведены телефоны, по которым проводится консультирование по вопросам лицензирования в Центральном аппарате ФСТЭК и в управлениях по ФО. Правда, время звонка всего лишь вторник, четверг и всего лишь с 10.00 до 12.00. Не густо.<br />
<br />
Конечно, информация не Бог весть какая подробная, но тем не менее. "Дорог не подарок, а внимание".</div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-79434371554250160802014-04-06T02:16:00.001-07:002014-04-06T02:26:55.938-07:00Что проверяет РКН в Уральском ФО?<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
Один из самых внушительных перечней документов,
необходимых при проверке Роскомнадзором оператора персональных данных, размещен на <a href="http://66.rkn.gov.ru/p7598/p10408/">сайте управления РКН по УрФО</a>. В списке 20
пунктов, но многие пункты подразумевают предоставление нескольких
дополнительных документов (регламенты, инструкции, журналы, списки и т.п.),
таким образом, окончательное количество документов, необходимых для прохождения
проверки РКН, остается неизвестным.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Смотрим:<br />
<br />
<a name='more'></a><b>Перечень документов, представление которых проверяемым
лицом необходимо для достижения целей и задач проведения проверки:</b></div>
<div class="MsoNoSpacing">
- копия документа о назначении должностного лица или
уполномоченного представителя, которое обязано представлять интересы
юридического лица, индивидуального предпринимателя при проведении проверки;</div>
<div class="MsoNoSpacing">
- организационно – штатная структурная<span style="mso-spacerun: yes;"> </span>схема юридического лица (до структурного
подразделения);</div>
<div class="MsoNoSpacing">
-<span style="mso-spacerun: yes;"> </span>журнал учета
проверок юридического лица, индивидуального предпринимателя, проводимых
органами государственного контроля (надзора), органами муниципального контроля.
</div>
<div class="MsoNoSpacing">
- уведомление об обработке персональных данных;</div>
<div class="MsoNoSpacing">
- письмо о внесении изменений в уведомление об обработке
персональных данных (в случае возникновения изменений должно быть отправлено не
позднее 10 рабочих дней с даты их возникновения);</div>
<div class="MsoNoSpacing">
- документы, подтверждающие обработку заявленных
оператором персональных данных: снимок экрана (скриншот) - в случае
осуществления автоматизированной обработки персональных данных; локальные акты,
устанавливающие перечень обрабатываемых оператором персональных данных;</div>
<div class="MsoNoSpacing">
- письменное согласие субъектов персональных данных (в
том числе работников) на обработку их персональных данных, составленное в
соответствии с требованиями ст. 9 Федерального закона № 152-ФЗ от 27.07.2006г.
«Об обработке персональных данных»; </div>
<div class="MsoNoSpacing">
- документы (согласие субъектов персональных данных на
обработку их данных, нормативные правовые акты), подтверждающие наличие
полномочий у оператора на обработку специальных категорий персональных данных
(состояние здоровья, расовая и национальная принадлежность, политические
взгляды, религиозные и философские убеждения, состояние интимной жизни) и
биометрических персональных данных, а также документы (локальные акты
оператора), подтверждающие соблюдение требований законодательства Российской
Федерации при обработке указанных категорий персональных данных;</div>
<div class="MsoNoSpacing">
- локальные акты, регламентирующие порядок и условия обработки
персональных данных, (положения, инструкции об автоматизированной и (или)
неавтоматизированной обработке персональных данных работников оператора, иных
субъектов персональных данных; листы ознакомления сотрудников, допущенных к
обработке персональных данных без использования средств автоматизации, о факте
обработке ими персональных данных и иных обстоятельствах, предусмотренных п.6
Постановления Правительства РФ № 687 от 15.09.2008г.); </div>
<div class="MsoNoSpacing">
- локальные акты, устанавливающие порядок уничтожения, а
также подтверждающие уничтожение оператором персональных данных субъектов
персональных данных по достижении цели обработки (например, акты об уничтожении
материальных носителей персональных данных);</div>
<div class="MsoNoSpacing">
-<span style="mso-spacerun: yes;"> </span>описание
помещений, в которых осуществляется обработка персональных данных:
расположение, номера помещений; наличие охраны, режима обеспечения
безопасности, оборудование помещений; общее количество рабочих мест, количество
рабочих мест, на которых обрабатываются персональные данные; описание ЭВМ,
носителей, на которых производится обработка персональных данных наименование,
заводской, инвентарный номер (ЭВМ, носителей персональных данных); наличие
средств шифрования (криптозащиты); средств имитозащиты (аппаратные,
программные, аппаратно-программные средства, системы и комплексы) -
наименование, заводской, инвентарный номер;</div>
<div class="MsoNoSpacing">
- локальные акты, определяющие список лиц, осуществляющих
обработку персональных данных либо имеющих к ним доступ;</div>
<div class="MsoNoSpacing">
- локальные акты, устанавливающие лиц, ответственных за
обработку перс. данных;</div>
<div class="MsoNoSpacing">
- договоры оператора с третьими лицами, в случае, если
оператор на основании такого договора поручает им обработку персональных данных
(договор обязательного медицинского страхования работающих граждан; договоры, о
зачислении денежных средств на счета физических лиц (работников оператора) в
соответствии с реестрами, предоставляемыми на электронных носителях; договоры с
медицинским учреждением о прохождении обязательного медицинского осмотра
работающих граждан);</div>
<div class="MsoNoSpacing">
- документы, подтверждающие выполнение оператором мер,
предусмотренных статьями 18.1 и 19 Федерального закона от 27.07.2006г. №152-ФЗ
«О персональных данных»; документы, подтверждающие выполнение оператором при
обработке персональных данных необходимых организационных мер для защиты
персональных данных от неправомерного или случайного доступа к ним;</div>
<div class="MsoNoSpacing">
- журналы (книги) учёта применяемых средств защиты
информации, носителей персональных данных (ЭВМ, дискеты и т.п.); сертификат
(ФСТЭК, ФСБ) о возможности эксплуатации средств защиты информации; приказ о составе
комиссии по классификации информационных систем персональных данных;
документальное оформление присвоения информационной системе соответствующего
класса (Акт о присвоении класса); электронный журнал обращений пользователей
информационной системы на получение персональных данных; журнал учета
периодических проверок информационной системы соответствующими должностными
лицами (работниками) оператора или уполномоченного лица; соответствующие
документы организации охраны, режима обеспечения безопасности (приказы, другие
документы);</div>
<div class="MsoNoSpacing">
- журнал обращений граждан, локальный нормативный акт,
утверждающий форму и порядок ведения журнала обращений граждан;</div>
<div class="MsoNoSpacing">
- типовые формы документов, предполагающие или
допускающие содержание персональных данных (заявления, анкеты и др.);</div>
<div class="MsoNoSpacing">
- локальные акты оператора, регламентирующие порядок
хранения материальных носителей персональных данных;</div>
<div class="MsoNoSpacing">
- журнал (реестр, книга) для однократного пропуска
субъекта персональных данных на территорию, на которой находится оператор (при
наличии).</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
А заканчивается сей шедевр административного искусства припиской:
<b>«перечень представляемых документов может быть уточнён в ходе проверки!».</b> Т.е.
как бы ни старался проверяемый выполнить требования регулятора, ему это не
удастся.</div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-47013045424538217592014-03-30T06:57:00.000-07:002014-03-30T07:19:34.306-07:00Так ГИС или КИИ? Вот в чем вопрос.<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
С принятием Федерального закона «О безопасности
критической информационной инфраструктуры РФ» добавится неопределенности в
вопросе: какие ИС по каким требованиям защищать?. </div>
<div class="MsoNoSpacing">
Для государственных информационных систем существует, как
известно, Приказ ФСТЭК №17. Для защиты информации в АСУ ПТП КВО скоро появится
отдельный приказ. Граница между сферами действия этих документов, традиционно,
весьма размыта.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Действительно, согласно <a href="http://regulation.gov.ru/project/5890.html?point=view_project&stage=2&stage_id=2938">законопроекту</a>, <strong>"критическая
информационная инфраструктура РФ – </strong></div>
<a name='more'></a><strong>совокупность автоматизированных систем
управления производственными и технологическими процессами критически важных
объектов и обеспечивающих их взаимодействие информационно-телекоммуникационных
сетей, а также информационных систем и сетей связи, предназначенных для решения
задач государственного управления, обеспечения обороноспособности, безопасности
и правопорядка".</strong><br />
<div class="MsoNoSpacing">
Что у нас предназначено для обеспечения задач
государственного управления? Да практически любая ГИС. Начиная от
информационных систем Росреестра и заканчивая Росалкогольрегулированием. Я уже
не говорю о федеральных ГИС, оператором которых является МВД или МИД.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Каковы критерии отнесения ИС к критически важным? В
законопроекте они перечислены. К примеру:</div>
<div class="MsoNoSpacing">
<strong>- критерий социальной значимости;</strong></div>
<div class="MsoNoSpacing">
<strong>- критерий важности объекта КИИ РФ в части реализации
управленческой функции;</strong></div>
<div class="MsoNoSpacing">
<strong>- критерий важности объекта КИИ РФ в части предоставления
значительного объема информационных услуг.</strong></div>
<div class="MsoNoSpacing">
Под эти критерии легко подвести весь <a href="http://rkn.gov.ru/it/register/#">реестр федеральных ГИС</a>, а при желании – и бухгалтерию администрации Усть-Дремучинского района
Заснеженной <span style="mso-spacerun: yes;"> </span>области (как, собственно, и
происходит на практике, когда компьютер в такой бухгалтерии причисляют к лику
ГИС). </div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Что получается? Как всегда, дилемма, стоящая перед
оператором: с одной стороны, у него ГИС и 17-й приказ ему в руки. С другой
стороны – у него критически важная «информационная система, предназначенная для
решения задач государственного управления». Как быть? Спросить, как водится, не
у кого: регулятор, скорее всего, ответит, что он не уполномочен комментировать
положения законодательства, и будет прав. Остается одно – ждать сложившейся практики,
которая всегда складывается из денег и нервов <span style="mso-spacerun: yes;"> </span>операторов ИС.</div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-42070088477970134732014-03-17T09:27:00.000-07:002014-03-17T09:27:52.136-07:00О пользе обезличивания ПДн<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
<span style="font-family: Verdana, sans-serif;">Продолжая <a href="http://alexgerm.blogspot.ru/2014/02/blog-post_27.html">разговор</a> об обезличивании, попытаемся извлечь
практическую пользу от обезличивания ПДн (тем более, что, как недавно <a href="http://www.lukatsky.blogspot.ru/2014/03/blog-post_7878.html">рассказал</a>
Алексей Лукацкий, для государственных и муниципальных учреждений обезличка
является обязательной). Поскольку «обезличенные данные» не являются
персональными данными, их можно безбоязненно передавать по открытым каналам
связи, что избавляет оператора от необходимости «связываться» с
криптосредствами. Конечно, при этом встает проблема передачи информации,
необходимой для последующего деобезличивания. Формально говоря, передавать ее
по тому же каналу, что и «обезличенные данные» нельзя, поскольку вероятность
перехвата ПДн нарушителем будет достаточно высока. </span></div>
<a name='more'></a><span style="font-family: Verdana, sans-serif;">А если передать эту
информацию (например, идентификаторы) по другому каналу (через другого
провайдера)? Или в другом сеансе связи (скажем, через неделю после передачи «обезличенных
данных»)? Вероятность угрозы перехвата в таком случае будет минимальна и об
актуальности угрозы можно забыть. А лучше всего, конечно, просто передавать носитель
с информацией, необходимой для деобезличивания, в этом случае возможность
восстановления ПДн внешним нарушителем будет исключена. Понятно, что последний
вариант неудобен и подходит далеко не каждому <span style="mso-spacerun: yes;"> </span>оператору. Но ведь можно прописать такой
порядок передачи ПДн в локальных нормативных актах оператора, а в
действительности передавать их «старым дедовским способом» - при помощи <span lang="EN-US" style="mso-ansi-language: EN-US;">VPN</span>. Формально требования по
защите будут выполнены. Примерно так уже давно поступают некоторые операторы,
передавая ПДн за рубеж: во внутренних документах пишут, что передача
осуществляется на съемном носителе курьером, а на деле просто перегоняют их по <span lang="EN-US" style="mso-ansi-language: EN-US;">VPN</span>-каналу (в лучшем случае).</span><br />
<span style="font-family: Arial, Helvetica, sans-serif;"></span><br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-63510748583700221052014-02-27T08:55:00.000-08:002014-02-27T08:55:18.651-08:00ПДн: вопросы обезличивания<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
<span style="font-family: Arial, Helvetica, sans-serif;">Не смотря на издание Роскомнадзором <a href="http://rkn.gov.ru/chamber-of-commerce/personal-data/p502/doc981.htm">Приказа №996</a> по
обезличиванию ПДн и даже <a href="http://rkn.gov.ru/docs/Xerox_Phaser_3200MFP_20131216122746.pdf">Методических рекомендаций</a> по его применению, ряд
вопросов, связанных с обезличкой, все же остается.</span></div>
<span style="font-family: Arial, Helvetica, sans-serif;">
</span><div class="MsoNoSpacing" style="tab-stops: 59.4pt;">
<span style="mso-tab-count: 1;"><span style="font-family: Arial, Helvetica, sans-serif;"> </span></span></div>
<span style="font-family: Arial, Helvetica, sans-serif;">
</span><div class="MsoNoSpacing">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: Arial, Helvetica, sans-serif;">Первый вопрос</span></b><span style="font-family: Arial, Helvetica, sans-serif;"> самый простой: являются ли обезличенные ПДн по-прежнему персональными данными
или превращаются в какую-то иную информацию?. Сам Приказ 996 на этот вопрос
прямо не отвечает, однако, Методрекомендации вводят понятие «обезличенных
данных», из которого ясно видно, что ПДн, будучи обезличенными, перестают быть
персональными данными. Проще говоря, после обезличивания они «исчезают» (во всяком
случае, исчезают из ИСПДн, а с практической точки зрения это главное).</span><o:p><span style="font-family: Arial, Helvetica, sans-serif;"></span></o:p></div>
<a name='more'></a><br />
<span style="font-family: Arial, Helvetica, sans-serif;">
</span><div class="MsoNoSpacing">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: Arial, Helvetica, sans-serif;">Второй вопрос:</span></b><span style="font-family: Arial, Helvetica, sans-serif;">
Зачем обезличивать? Надо ли и стоит ли овчинка выделки? Учитывая ответ на
первый вопрос, стОит, поскольку если в ИСПДн нет персональных данных, то и
самой ИСПДн тоже нет. Со всем вытекающими: ни определять угрозы, ни защищать в
ней что-либо не надо. Дешево и сердито. Об этом, кстати, <a href="http://rkn.gov.ru/news/rsoc/news22612.htm">говорилось</a> еще в
ноябре 2013г на </span><span lang="EN-US" style="mso-ansi-language: EN-US;"><span style="font-family: Arial, Helvetica, sans-serif;">IV</span></span><span lang="EN-US"><span style="font-family: Arial, Helvetica, sans-serif;"> </span></span><span style="font-family: Arial, Helvetica, sans-serif;">конференции</span><span style="font-family: Arial, Helvetica, sans-serif;"> «Защита персональных данных»: «<em>По прогнозным
оценкам, использование механизмов обезличивания поможет сократить объем
обрабатываемой персональной информации и снизит риск возможного неправомерного
доступа к персональным данным со стороны должностных лиц государственных и
муниципальных органов</em>».</span></div>
<span style="font-family: Arial, Helvetica, sans-serif;">
</span><div class="MsoNoSpacing">
<br /></div>
<span style="font-family: Arial, Helvetica, sans-serif;">
</span><div class="MsoNoSpacing">
<b style="mso-bidi-font-weight: normal;"><span style="font-family: Arial, Helvetica, sans-serif;">Третий вопрос</span></b><span style="font-family: Arial, Helvetica, sans-serif;">
сложнее: с какого момента ИСПДн, в которой осуществляется обезличивание ПДн, перестает
нуждаться в защите? Ведь если изначально персональные данные в системе были, то
меры по их защите должны быть приняты. И только после обезличивания от них
можно отказаться. Практически это означает следующее: если в ИСПДн вводятся персональные
данные, а их обезличивание производится уже в процессе обработки, то большого
смысла в обезличивании нет: защищать ИСПДн все равно придется. Поэтому
обезличка имеет смысл только в тех случаях, когда предполагается работать
ТОЛЬКО с обезличенными данными. Следовательно, обезличка нужна в основном для
хранения ПДн сверх установленных законом сроков (скажем, на съемном носителе
или даже в «облаке»), либо для ведения статистики. Для «повседневной» работы
она нецелесообразна.</span></div>
<span style="font-family: Arial, Helvetica, sans-serif;">
</span><div class="MsoNoSpacing">
<br /></div>
<span style="font-family: Arial, Helvetica, sans-serif;">
</span><div class="MsoNoSpacing">
<span style="font-family: Arial, Helvetica, sans-serif;">И, наконец, </span><b style="mso-bidi-font-weight: normal;"><span style="font-family: Arial, Helvetica, sans-serif;">четвертый
вопрос</span></b><span style="font-family: Arial, Helvetica, sans-serif;">: какой оператор может (вправе) проводить обезличивание? Традиционная
размытость формулировок в нормативке несколько путает картину. В законе «О
персональных данных» по этому поводу ничего не сказано. Необходимость
определения методов обезличивания определена Постановлением №211, которое среди
мер по обработке ПДн в государственных и муниципальных органах определило и
необходимость обезличивания ПДн. Роскомнадзор, выполняя Постановление 211,
издал Приказ 996, формально касающийся только гос. и муниц. органов. Однако в
самом приказе предусмотрена возможность его применения любым оператором: как
«гос», так и «не гос». А вот в «Методических рекомендациях …» к приказу
почему-то написали, что они разработаны «с целью оказания помощи операторам, …
являющимся государственными и муниципальными органами». Оно и понятно: станет вам
РКН оказывать помощь кому попало. Однако, юридически Приказ выше рекомендаций,
поэтому вряд ли кого-то станут наказывать за то, что он, не будучи
государственным органом, осмелился обезличить ПДн, воспользовавшись
Методическими рекомендациями.</span></div>
<span style="font-family: Arial, Helvetica, sans-serif;">
</span><div class="MsoNoSpacing">
<br /></div>
<span style="font-family: Arial, Helvetica, sans-serif;">
</span><div class="MsoNoSpacing">
<span style="font-family: Arial, Helvetica, sans-serif;">Есть еще один вопрос: как передавать обезличенные ПДн по
открытому каналу связи? Но о нем в следующий раз.</span></div>
<span style="font-family: Arial, Helvetica, sans-serif;"></span><br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-5990810371764270552014-02-24T10:31:00.000-08:002014-02-24T10:33:00.221-08:00"Уязвимости" 17-го<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNoSpacing">
Одна из главных «уязвимостей» 17-го приказа связана с
тем, что в его разработке не принимали участия юристы. Писавшие приказ практики
неплохо представляют себе топологию информационных систем, но мало думали над
тем, какие юридические проблемы встанут перед его исполнителями, особенно, если они имеют дело с крупными ГИС федерального масштаба.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
В <a href="http://rkn.gov.ru/it/register/#">реестре федеральных ГИС</a> на сегодняшний день ни много,
ни мало 324 наименования. Среди операторов ГИС – МЧС, МВД, Минкомсвязь, Минобраз
и многие другие «монстры», информационные системы которых имеют сложную
разветвленную структуру, охватывающую всю Россию. И в каждой ИС масса
особенностей, обусловленных ее назначением, условиями эксплуатации, а<span style="mso-spacerun: yes;"> </span>так же организационной структурой ведомства,
являющегося оператором ГИС.</div>
<div class="MsoNoSpacing">
<br />
<a name='more'></a>Многие федеральные системы состоят из множества
региональных сегментов, которые, в свою очередь, делятся на районные,
городские, местные, … Обработку информации в них осуществляют соответствующие
региональные и местные подразделения. Их статус и обязанности по защите
информации весьма туманен. Кто они? Операторы? Нет: в реестре указано, что
оператором, к примеру, <a href="http://rkn.gov.ru/it/register/?id=90492">ВИС-СМЭВ</a>, является МВД РФ. Заказчики? Тоже нет.
Обладатели информации? Тем более нет. Они даже не уполномоченные лица,
поскольку уполномоченное лицо это «лицо, обрабатывающее информацию, являющуюся
государственным информационным ресурсом, по поручению обладателя информации
(заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы
(мощности) для обработки информации на основании заключенного договора». </div>
<div class="MsoNoSpacing">
Между тем, кто-то должен определить угрозы, сформировать
требования по защите информации и организовать аттестацию ГИС. Опять же,
согласно Приказа 17, это должен сделать оператор.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Из этой юридической проблемы вытекает другая,
практическая: как аттестовать федеральную ГИС и что должно быть написано в
аттестате? С точки зрения 17-го приказа, в аттестате должно быть написано «ГИС такая-то
соответствует требованиям таким-то. Орган по аттестации такой-то». Интересно,
как это будет выглядеть на практике? Сколько на это уйдет времени, каков будет
объем техпаспорта и заключения по результатам аттестационных испытаний? А если
все-таки федеральную ГИС разрешат аттестовать посегментно, то с какого момента
она будет считаться аттестованной? Вполне может статься, что пока последний
сегмент города Усть-Кукуева будет аттестован, срок действия аттестатов,
выданных на московские сегменты, уже истечет. И так до бесконечности.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Есть и другая проблема, связанная с обработкой информации
одним уполномоченным лицом в интересах сразу нескольких операторов. Типичная
ситуация: в региональном ЦОД на виртуальных серверах обрабатывается информация
в интересах нескольких региональных министерств. Каждое из них должно
аттестовать свой сегмент федеральной ГИС (Минздрав, Минсоц, Минобр и т.п.). Как
они будут аттестовать свой сегмент ЦОДа? Где заканчивается зона ответственности
одного оператора и начинается зона другого? Тем более, что нормального договора
между госорганами и ЦОД, как правило, нет. Есть спущенная сверху бумажка: «обработку
осуществлять в ОАО «Регионкоминформ». Теперь сверху придет другая бумажка: «срочно
аттестовать ИС, в которой вы работаете». И что? Опять же встанет проблема: кто
здесь оператор, кто заказчик, кто уполномоченное лицо? В терминологии приказа
17 оператором являются федеральные министерства, а ЦОД – уполномоченное лицо. А
если открыть закон 149-ФЗ, то оператором в данном примере является ЦОД, а
министерство – обладатель. И именно обладатель должен писать модель угроз.
Хотелось бы на нее посмотреть. Как определить угрозы и аттестовать кучу
клиентов, принадлежащих госоргану, и виртуальный сервер, принадлежащий коммерческой
организации? Кто определит угрозы и требования по защите? Кто организует
аттестацию? Никто не знает. И спросить не у кого.</div>
<div class="MsoNoSpacing">
<br /></div>
<div class="MsoNoSpacing">
Извините за «многабукф», но об этих проблемах мы еще
будем долго писать и спорить.</div>
<br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0tag:blogger.com,1999:blog-6748112078469712241.post-47221884205806389662014-02-19T10:12:00.001-08:002014-02-19T10:12:42.135-08:00"Не применяется"<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
<div class="MsoNormal">
<span style="font-family: "Calibri","sans-serif"; font-size: 11.0pt; line-height: 115%; mso-ansi-language: RU; mso-ascii-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-bidi-language: AR-SA; mso-bidi-theme-font: minor-bidi; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin; mso-hansi-theme-font: minor-latin;"><span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;">Нужно
ли аттестовать ИСПДн, если ее оператором является государственный
(муниципальный) </span></span></span><span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;">
</span></span><span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;">орган, но сама ИСПДн при этом не является государственной
информационной системой (ГИС)? Например, ИС бухгалтерии администрации Н-ской
области? Вопрос, на первый взгляд, простой: последний документ, в котором прямо
говорится об обязательности аттестации ИСПДн, не применяется с 2010 г (хотя
формулировочка «не применяется» может поставить в тупик хорошего юриста). Какая
еще аттестация? </span></span></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;"></span></span></div>
<a name='more'></a><span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;"></span></span><br />
<span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;">
</span></span><div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;">Но не все так просто. На практике некоторые интеграторы,
оказывая услуги по защите информации в гос. органах и гос. организациях (да-да,
не только в гос. органах, но и в организациях), манипулируя положениями
действующих документов ФСТЭК, легко обосновывают необходимость аттестации всего
и вся. Ход мысли очень прост: Вы гос. орган? Значит, вся ваша информация есть
государственный информационный ресурс. А в СТР-К ясно написано: «Требования и
рекомендации документа распространяются на защиту государственного
информационного ресурса». А коли так – извольте аттестовать компьютер в
бухгалтерии, в нем ведь обрабатываются персональные данные. Более того, они
аттестуют эти несчастные бухгалтерские ИСПДн, игнорируя требования 21-го Приказа
ФСТЭК, для которых он, собственно, и писался и которому исполнился год. В
аттестате пишут «соответствует требованиям СТР-К» и не заморачиваются. По старой, как говорится, привычке.</span></span></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;"><br /></span></span></div>
<span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;">
</span></span><div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;">Почему возникают такие ситуации? Ответ очевиден: из
«резиновых» формулировок, которых масса в наших законах. В 149-ФЗ под
государственными информационными ресурсами понимаются «информация, содержащаяся
в государственных информационных системах, а также иные имеющиеся в
распоряжении государственных органов сведения и документы». Иные. То есть, любые.
И если заказчик плохо ориентируется в громоздкой системе наших НПА, его очень
легко </span></span><s><span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;">развести на бабки</span></span></s><span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;"> ввести в заблуждение и навязать ненужную
«услугу». Впрочем, далеко не все заказчики хотят во все это вникать: деньги
казенные и их не жалко. Искусство же тратить казенные деньги выходит за рамки
тематики данного блога.</span></span></div>
<span style="font-size: small;"><span style="font-family: Arial, Helvetica, sans-serif;"></span></span><br /></div>
Александр Германовичhttp://www.blogger.com/profile/18057556185866798562noreply@blogger.com0