28 мая 2012 г.

Ответ на пятничный вопрос

Правильный ответ про пиктограмму -Уэльс (угадали все попытавшиеся), но северный, а не южный. Город Конвей, городская стена - одна из самых древних и хорошо сохранившихся в Европе. Печеньку - месячный отчет о законотворчестве и правоприменении законодательства о персональных данных в России,  подготовленный нашим агентством,  получит мылом  Алексей Комаров  , легко и просто показавший плюсы использования современных технологий.
На фото  - та самая стена, правила хождения по которой нарисованы на пиктограммах. Ну, а ее посещение было бонусом к лондонской выставке, о которой я писал.

Infosecurity Europe 2012: что показывали и что говорили

Лондонская выставка Infosecurity Europe по-прежнему остается крупнейшим и важнейшим событием для специалистов по безопасности. Вот и в этом году за три дня, с 24 по 26 апреля, стенды 330 компаний и шесть залов деловой программы посетили 12,5 тысяч специалистов. Правда, просящиеся на язык и на клавиатуру слова «крупнейшим и важнейшим событием для специалистов Европы», использованные и организаторами, внутренний цензор безжалостно вычеркнул. Иностранцев в этом году было чуть более 1000 человек – для европейской выставки откровенно мало.
Слоган нынешней выставки – «Безопасное мышление, безопасная работа. Безопасные инвестиции, безопасный бизнес». Тема интеграции информационной безопасности с бизнесом – основная. Как квинтэссенциядевиз Cisco на выставке: «Security That Means Business».
С переездом выставки в Earl Court техническая оснащенность и удобство работы посетителей выставки поднялись на ту высоту, дальнейшее увеличение которой просто не имеет смысла. Автоматы на входе для получения бейджа посетителя по высланному на мыло коду. Идеальная разметка в зале, позволяющая по нумерованным буквами и цифрами улицам быстро найти любой нужный стенд. Звукоизолированные залы деловой программы. Огромные площади для общения, работы в интернете, питания, просмотра трансляций из переполненных залов теми, кто туда попасть не смог. Стендисты с ридерами бейджей. И, наконец, большущие стенды, рассчитанные на напряженную работу – от презентаций (которых на стендах, как показалось, стало меньше по сравнению с предыдущими годами) до деловых переговоров, которые ведутся весьма активно.
Что заботит наших коллег в Британии? Да практически все то, что и нас – облака, сплетенные в узел с виртуализацией и примкнувшей к ним проблемой больших данных, консьюмеризация и близкая к ней тема BYOD, безопасность платежей, соответствие (слово какое-то нехорошее, в общем – compliance), риск-ориентированный подход к информационной безопасности, новые угрозы в цифровом мире, социальная инженерия.
Но при внешней схожести обсуждаемых вопросов и предлагаемых решений более глубокое вхождение в тему выявляет и серьезные различия почти во всем, кроме, наверное, применения облачных архитектур. Для них та же главная проблема – безопасность сервисов, в первую очередь, связанных с идентификацией пользователя и ресурса провайдера, защитой данных при передаче и организации хранения, контролем за уничтожением информации и возможностью миграции при отказе от услуг в конкретном облаке. Но и здесь есть существенное отличие – на западе вопрос шифрования передаваемых и хранимых данных не вызывает никаких сомнений, а повсеместное применение для этих целей протокола https (SSL, TLS) упрощает решение задачи до минимума. «Большие» вендоры убеждают в полной безопасности облаков и утверждают, что миграция из дата-центров в облака уже состоялась.
С консьюмеризацией и использованием дивайсов пользователей интереснее. Сама по себе задача создания единых правил для совершенно разных платформ выглядит уже крайне нетривиальной. Одна из дискуссий в главном зале в связи с этим была названа откровенно провокационно: «Принеси свою собственную политику». Поэтому и решения предлагаются нетривиальные, особенно в проекции на российскую ситуацию. Основной путь снижения рисков – страхование! Всерьез обсуждается страхование информации, обрабатываемой и хранимой на устройствах, не принадлежащих компании. Проблема контроля защищенности личных устройств и безопасности установленных на них приложений. И, наконец, одна из сложнейших – идентификация, аутентификация и авторизация пользователя мобильного устройства при доступе к корпоративным ресурсам. Основных решений предлагается два – (1) с использованием третьей доверенной стороны, куда обратиться можно с чем угодно, а уже она, в соответствии с корпоративной политикой, авторизует пользователя и (2) решения для идентификации и авторизации, устанавливаемые на большое количество платформ. С этим тоже интересно. По первой проблеме некоторыми спикерами вообще ставилась под вопрос возможность существования третьей доверенной стороны. По второй - общим трендом становится утверждение о смерти одноразовых паролей и двухфакторной аутентификации с применением токенов.
С оценкой соответствия все не так как у нас, ну или почти все. Пересечение идет по PCI DSS, ну и, частично – по британскому закону о защите данных (Data Protection Act), аналогу нашего закона о персональных данных. Кстати, это единственный случай, когда в деловой программе вспомнили про персональные данные. На стендах участников по этой проблеме – вообще ничего. Гораздо больше британский бизнес волнует SOX, борьба с инсайдом и другие вопросы соответствия, связанные именно с бизнесом.
В лучших традициях на выставке презентуются новинки. Если честно, железо-софт интересовали меньше. А вот представление ежегодного отчета исследования по безопасности PricewaterhouseCoopers 24 апреля было очень интересным. Главные итоги:
·   кибер-атак на крупные организации за год стало в два раза больше, в 15% случаев взлом удается;
·   политика безопасности нарушалась в 45% крупных организаций; 
·   лишь 26% организаций считают, что их сотрудники хорошо понимают  политику безопасности;
·   38% крупных организаций для защиты конфиденциальных данных пользуются услугами шифрования третьей доверенной стороны;
·   39% организаций используют шифрование для обеспечения конфиденциальности данных на смартфонах и планшетах;
·   только 20% крупных организаций оценивают возврат инвестиций в безопасность.
Несколько удивила оценка потерь в Великобритании от инцидентов безопасности – «миллиарды фунтов». Какая-то точность подозрительная.
Главные темы экспозиции ожидаемы (в порядке убывания количества предложений на стендах):
·   Управление рисками и достижение соответствия (именно вместе);
·   Сетевая безопасность и безопасность Интернета;
·   Облачная безопасность;
·   Безопасность приложений;
·   Безопасность мобильных устройств.
Неожиданным оказалось количество компаний, предлагающих решения класса DLP - около 50. Несмотря на то, что для данных продуктов использовалось устоявшееся определение Data Leakage Prevention, при детальном рассмотрении и беседах со стендистами оказалось, что термин по-прежнему остается в значительной степени маркетинговым и под этой вывеской продается неограниченно широкий спектр решений – от шифрования до контроля устройств ввода-вывода. Типичный пример – KeySecurePC, твердотельный SSD диск с операционной системой, приложениями, эмуляцией «форточек» и шифрованием по AES256. Из возможностей компа, к которому он подключается по USB-порту, используется только процессор, оперативная память, экран и клавиатура. На диски компьютера ничего не записывается. Все действия выполняются в замкнутой среде с обязательным шифрованием, но, как утверждает разработчик, не данных или файлов, а всей среды, где идет обработка. Туда же встроена функция гарантированного удаления ненужных данных. Производитель относит это решение тоже к DLP. Еще более неожиданным было позиционирование в этом классе разработчиков шредеров для жестких дисков.
Очень много предложений по управлению идентификацией, доступом, аутентификации и авторизации. Самых разных.
Системы обнаружения вторжений, межсетевые экраны и SIEM выставлялись исключительно  с приставками «нового поколения» или 2.0. Но в целом вендоров становится меньше, интеграторов и консультантов – больше. Из года в год. Увидеть на выставке традиционный блейд уже почти невозможно.
Интересными были стенды нишевых компаний, которые предлагали решения для очень узких, специфических, но сложных задач, таких, как контроль за действиями привилегированных пользователей и работой привилегированных приложений, безопасность мобильный платежей, анализ исходного кода, шифрования электронной почты, управления ключами в SSH и т.п. Ребята буром вгрызаются в проблему. Бизнес явно сделан с перспективой последующей продажи акулам.
А вот эти симпатичные ищейки будут для вас бесплатно бегать по интернету, искать поставщиков решений, сравнивать их (по своим, правда, критериям) и предлагать дистрибуторов приглянувшегося вендора. Сервис, как минимум, интересный. С полезностью будем разбираться.
Россиян на выставке впервые за последние годы не было. Увы. Огромный стенд Касперского нам не засчитали – как известно, это теперь английская компания.
Рассказывать можно очень долго. Выставка (как и голландская Infosecurity 2011) начисто опровергает популярное в последние годы среди российских участников рынка ИБ мнение о бессмысленности подобных мероприятий и отсутствии практической пользы от них. Видимо, дело не в мероприятии, а в отношении, умении, готовности, ну и т.д.
А что у нас? Готовимся к очередному Инфобезу-Экспо!
Пока собираются стендисты, деловая программа почти сверстана. У нас – свой путь. Похоже, минимум четыре мероприятия будут посвящены персональным данным (такова наша жизнь…) – пленарка «Безопасность персональных данных – наука и жизнь» с редкой возможностью послушать регуляторов (будем надеяться, всех сразу), круглые столы «Защита персональных данных в «облаках» (организатор – «Аладдин Р.Д.»), «Персональные данные в области медицинских ИКТ» (организатор – АРМИТ), и наконец, организуемая вашим покорным слугой блогер-панель «Персональные данные – год после новой редакции закона». Планируется, что на ней вы сможете услышать точку зрения тех, кого наиболее часто читаете – Алексея Лукацкого, Алексея Волкова, Александра Токаренко и Евгения Царева, ну, и мою, конечно. Планируем провести все очень живенько – минут пять каждому на новеллу о сложных проблемах правоприменения законодательства персданных по его выбору, потом обсуждение изложенной точки зрения участниками за столом и в зале.
Из другого «вкусненького» на деловой программе – совершенно новый формат «Лаборатории информационной безопасности» под управлением Дмитрия Устюжанина, аутсорсинг ИБ под чутким руководством Дмитрия Кострова, дела денежные (ДБО – Андрей Грициенко из Банка «Возрождение», стандартизация – Артем Сычев из «Россельхозбанка», PCI DSS – Юрий Лысенко из «Хоум Кредит Банка»), облачные проблемы государства и частных компаний (Дмитрий Климов/Олег Зюзин), трансграничное взаимодействие и электронные услуги (А.А.Домрачев из Минкомсвязи), информационное право под патронажем дважды доктора наук и профессора А.А.Стрельцова, традиционный исторический экскурс Сергея Рябко из «Эс-Терры», ну и, конечно, битва гладиаторов со львами в заключительный день. И это не все, и это не всё.
Так что скучно не будет. Правильные люди взялись за дело. Место встречи – Москва, Экспоцентр, 3-5 октября 2012 года.

25 мая 2012 г.

Пиктограмма безопасности

Пятничное. Потихоньку складывается коллекция пиктограмм безопасности. Фото сделаны в самых разных местах самых разных стран мира. На фото – один из объектов коллекции. Если кому-то скучно, можно погадать, в каком городе и какой страны сделано фото, и правила поведения на каком объекте регулируются. Можно еще над основным языком подумать. 
Для точно угадавшего придумаю какую-нибудь хорошую «печеньку». Ответы учитываются до 11:00 (МСК) понедельника 28.05.12. В любом случае, в понедельник напишу правильный ответ.

21 мая 2012 г.

Уполномоченный орган по защите прав субъектов персональных данных: итоги за 2011 год. Часть 2

Весьма интересен перечень нарушений, выделяемых надзорным органом. Рассмотрим в том же порядке, что и в отчете.
1. Нарушение требований конфиденциальности при обработке персональных данных. В Отчете почему-то все сводится к фактам доставки платежных документов в незаконвертованном виде. В материалах же проверок в 2011г. наиболее частыми и характерным выглядели факты передачи персданных третьим лицам без согласия субъекта. Тема интересная. Где допустимые границы указания персданных в почтовом отправлении? Только ФИО и адрес? Где это написано? И открытки (т.е. почтовые отправления именно в открытом виде) пока никто в России вроде бы не отменял… Хотя, судя по тому, что везде перестали принимать открытки в качестве средств оповещения о событии (помните – очередь подошла!), тенденция просматривается.
2. Неуведомление гражданина о начале обработки его персональных данных. Под раздачу попали расчетно-информационные центры ЖКХ, начавшие выставлять счета без уведомления жильцов. Нарушение выглядит крайне спорным. РИЦы создаются как раз для сбора платежей коммунальщиками и ресурсопоставляющими компаниями с жильцов, и обработка ими персданных, полученных от коммунальщиков, вполне вписывается в п.7 части 1 ст.6 ФЗ-152 - обработка персональных данных необходима для осуществления прав и законных интересов оператора. И нарушений прав владельцев квартир и квартиросъемщиков никаких не видно – деньги им все равно платить надо.
3. Нарушение «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного пресловутым Постановлением Правительства 2008 г. № 687, в части, касающейся несоблюдения оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ. Отметим, что наличие реальных инцидентов или предпосылок к таковым проверяющих не интересовало.
Для «четверки» особо пристально проверяемых категорий операторов (банки, коллекторы, авиакомпании и кадровые агентства) Уполномоченный орган выделяет следующие нарушения:
1. Опять-таки нарушения «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», но уже в части, касающейся непринятия мер по исключению несанкционированного доступа к обрабатываемым персональным данным. Таковым признается отсутствие у оператора утвержденного перечня лиц, имеющих доступ к персональным данным, обрабатываемым без использования средств автоматизации. И обязательное определение порядка и мест хранения персональных данных субъектов. Т.е. если кадровику под роспись не довести, что он работает с персданными и не указать конкретный шкаф, где хранятся личные дела работников и трудовые книжки, наказание будет неотвратимым.
2. Следующее нарушение интереснее – обработка оператором персональных данных без согласия субъектов персональных данных, в частности, обработка банком персональных данных близких родственников без их соответствующего согласия. В отчете не указано, о чьих близких родственниках идет дело – работников банка или клиентов. Если работников – неплохо бы надзорному органу сформулировать  свое точку зрения на унифицированную форму учета работников Т2, которой руководствуется вся страна и где в п.10 близких родственников как раз надо указать. Если о родственниках клиентов, то опять-таки нужен единый подход. В банке клиент очень часто представляет информацию о других субъектах (я про это не раз писал, например, здесь и здесь). Вступление банка в контакт с ними без их согласия иногда приводит к нарушению банковской тайны, и поэтому недопустимо. Простой выход – переложение ответственности в договоре на клиента за правомерность предоставления персданных родственников и иных лиц почему-то надзорным органом не принимается.
3. Несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона. В отчете дан пример: в типовой форме согласия на обработку персональных данных, утвержденной кадровым агентством, отсутствовало общее описание используемых оператором способов обработки персональных данных. Опять не очень понятно: обработка персональных данных в целях заключения договора (в данном случае – трудового), стороной которого является субъект, никакого согласия не требует.
В отчете есть интересное предложение, касающееся распространения баз данных госорганов и продажи их на «радиорынках» - нормативно урегулировать вопросы обеспечения идентификации баз персональных данных, обрабатываемых в госорганах, с целью однозначного определения источника в случае их утечки или появления в продаже.
А вот как в этих же целях применять другую предлагаемую Роскомнадзором процедуру – обезличивание персональных данных, «успешное использование которой существенно снизит риски идентификации конкретных граждан в случаях утечек баз данных», не очень понятно. Зачем МРЭО ГАИ обезличенная база владельцев автотранспорта? Констатация же того, что «применение процедур обезличивания персональных данных уже нормативно закреплено постановлением Правительства Российской Федерации от 21.03.2012 № 211 и является обязательным для Операторов, являющихся государственными или муниципальными органами», просто ставит в тупик.
В целях борьбы с индексацией поисковыми системами персональных данных предлагается разработать технический стандарт, определяющий набор необходимых правил и мер, реализация которых обеспечит безопасность персональных данных при их обработке в информационно-телекоммуникационной сети Интернет и позволит исключить подобные случаи. Интересно…
В отчете констатируются все те проблемы, для разрешения которых предлагается внести изменения в КоАП, и о которых я писал ранее.
В отчете отмечается, что новая редакция закона позволила операторам при обработке персональных данных применять отраслевой подход, учитывающий специфику деятельности в той или иной сфере деятельности, а применение подобных отраслевых стандартов не только позволяет обеспечить реализацию требований Федерального закона с учетом особенностей профессиональной деятельности, но и влечет за собой повышение уровня защищенности персональных данных граждан и снижение количества нарушений.
Такое впечатление, что мы читаем разные новые редакции закона. Я-то как раз никакой возможности применения стандартов в новой редакции не вижу.
В отчете дается краткий анализ надзорной деятельности ФСБ и ФСТЭК. Нарушения и недостатки, выявленные ФСБ, разделены на 4 категории:
  1. Разработка ведомственных нормативных документов по обеспечению безопасности персональных данных с отступлениями от требований нормативно-методических документов ФСБ России.
  2. Использование СКЗИ, не прошедших сертификацию ФСБ России или с истекшими сроками действия сертификатов.
  3. Подготовка и назначение пользователей СКЗИ осуществляется с отступлениями от требований нормативных документов.
  4. Нарушения в учете, хранении, уничтожении СКЗИ и ключевой документации к ним.
Основные недостатки, выявленные проверками ФСТЭК, следующие:
  1. Незавершенность работ по классификации ИСПДн.
  2. Формальный подход к формированию модели угроз безопасности персданных.
  3. Использование технических средств защиты информации, не прошедших в установленном порядке процедуру оценки соответствия, в том числе межсетевых экранов при подключении информационных систем персональных данных к сети Интернет.
  4. Отсутствие описания системы защиты персональных данных.
  5. Отсутствие надлежащего учета применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
Про перспективы классификации лучше почитать у Алексея Лукацкого.
По поводу оценки соответствия на сайте ФСТЭК размещено информационное письмо, разъясняющее тонкости закрытого постановления Правительства № 330. Его достаточно подробно комментирует Алексей Волков.
Есть в отчете много еще интересного, но обо всем в посте не напишешь – и так многобукв получилось.

18 мая 2012 г.

Уполномоченный орган по защите прав субъектов персональных данных: итоги за 2011 год

Вчера Уполномоченный орган по защите прав субъектов персональных данных опубликовал на сайте Роскомнадзора отчет о своей деятельности за 2011 год.
Надо сказать, что Роскомнадзор в целом и Управление по защите прав субъектов персональных данных, в частности, весьма активно и результативно использует возможности своего интернет-портала, поддерживая актуальную новостную ленту, выкладывая новые документы, организовав форум и FAQ и т.д.
Естественно, 54-страничный документ требует пристального и детального анализа, что проще сделать, внимательно его рассмотрев самостоятельно. Тем, кому недосуг – взгляд моими слипшимися от бессонной ночи изучения отчета глазами.
Отчет подводит итоги деятельности уполномоченного органа в минувшем году по следующим направлениям:
·         осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации;
·         деятельность по ведению реестра операторов, осуществляющих обработку персональных данных;
·         рассмотрение обращений граждан и юридических лиц;
·         работа консультативного совета при надзорном органе;
·         международное сотрудничество.
Подобный документ ежегодно публикуется уполномоченным органом с 2008 года, но в этом году впервые включает в себя сведения о надзорной деятельности ФСБ и ФСТЭК в области персональных данных, что тоже очень интересно.
Роскомнадзор отмечает рост гражданской активности в вопросах защиты прав и законных интересов субъектов персональных данных, постоянное совершенствование механизмов защиты и внедрение новых мер профилактического характера в форме мониторинга деятельности операторов, что позволило ему уже на начальной стадии выявить и пресечь ряд серьезных нарушений прав значительного числа граждан, которые, впоследствии, могли вызвать широкий общественный резонанс.
В 2011 году контрольно-надзорная деятельность была спланирована с учетом итогов 2010 года, по результатам которых были выделены категории операторов, на деятельность которых поступало наибольшее количество жалоб граждан – кредитные организации и коллекторские агентства, а также обрабатывающие персональные данные значительного числа субъектов - авиакомпании и кадровые агентства. В отношении представителей этой группы в 2011 году были проведены 194 плановые проверки.
Общие итоги надзорной деятельности в 2008-2011 г.г. я свел в табличку:
Таблица 1 

2008
2009
2010
2011
Проведено проверок
Всего
76
432
1253
2231
% к прошлому году
-
568
290
178
Плановых
36
284
804
1440
% к прошлому году
-
789
283
179
Внеплановых
40
148
449
791
% к прошлому году
-
370
303
176
% от общего числа в этом году
53
34
36
35
Выдано предписаний
Всего
19
557
1908
2250
% к прошлому году
-
2931
343
118
В среднем на 1 проверку
0,25
1,29
1,52
1,01
Составлено протоколов
Всего
0
54
2996
4901
% к прошлому году
-
-
5548
164
В среднем на 1 проверку
0
0,13
2,39
2,20
Всего выписано штрафов
На сумму, тыс. руб.
0
75
4480
7900
Рост, в количество раз
-
-
60
1,8
Поступило обращений в Уполномоченный орган
Всего
146
465
1829
3920
% к прошлому году
-
318
393
214
Интересно, что из 1706 намеченных на 2011 год  266 плановых проверок или почти 16%, отменено в связи с ликвидацией оператора.
Из таблицы видно, что проверки стали носить не профилактический или пресекающий, а откровенно карательный характер – число предписаний об устранении нарушений составляет в среднем 1 на каждую проверку, а количество протоколов, ведущих к наложению штрафа, - 2,2 на каждую проверку. Что не могло не сказаться на размере выписанных штрафов, которое выросло до 7,9 млн. рублей, что в 105 (!) раз больше, чем всего два года назад. Можно только представить, как вырастет объем взыскиваемых штрафов при принятии поправок в КоАП, о которых я писал на днях.
Если мы просмотрим результаты проверок в отношении четырех выявленных Роскомнадзором категорий наиболее часто нарушающих закон операторов, то результаты надзорной деятельности окажутся совсем неожиданными (таблица 2).
Таблица 2 

Кредитные организации
Коллекторские агентства
Кадровые
агентства
Авиакомпании
Проведено проверок
189
25
31
14
Выдано предписаний
125
13
30
8
В среднем на одну проверку
0,66
0,52
0,97
0,57
Составлено протоколов
36
14
13
0
В среднем на одну проверку
0,19
0,56
0,42
0

У прошлогодних нарушителей удельная доля мер воздействия по результатам проверок оказалась значительно ниже, чем в целом по операторам! То ли выводы правильные ими были сделаны, то ли не такие уж они и злостные. Особенно впечатляет количество протоколов, составленных в авиакомпаниях и банках, при среднем показателе 2,2 на проверку по стране.
В 2011 году по поручению органов прокуратуры проведено 116 внеплановых проверок, причем треть проверок были инициированы по жалобам граждан на организации ЖКХ.
Со своей стороны, в 2011 году в органы прокуратуры для рассмотрения вопроса о возбуждении дел об административном правонарушении по признакам ст. 13.11 КоАП РФ Роскомнадзором направлено около 900 материалов, но решения о возбуждении дел прокурорами были приняты лишь в 167 случаях, т.е. в одном случае из пяти. Основная причина отказа - истечение трехмесячного срока давности по данной статье, предусмотренного КоАП или принятие «иных мер прокурорского реагирования» (внесение представлений, направление предостережений). Но и эта проблема, похоже, скоро будет решена.
В двух субъектах Федерации (Алтайском и Краснодарском крае) прокуратура не согласилась с расширительным пониманием оснований для внеплановых проверок, в Административном регламенте Роскомнадзора. По ее мнению, при отсутствии угрозы жизни и здоровью субъектов или признаков нарушений прав потребителей проверки являются неправомерными, и привлекла инспекторов территориальных управлений к административной ответственности.
Роскомнадзор считает, что «привлечение к административной ответственности и принятие иных мер прокурорского реагирования в отношении должностных лиц, строго соблюдающих положения требований действующих нормативных правовых актов [имеются в виду инспекторы Роскомнадзора, следующие Административному регламенту], может оказать существенное негативное влияние на выполнение ими своих должностных обязанностей в будущем».
Про остальное - типичных нарушениях и результатах надзорной деятельности ФСБ и ФСТЭК – в следующем посте.