27 июля 2012 г.

Пятничное: к открытию Олимпиады в Лондоне

Сегодня вечером открытие Олимпиады, если кто не знает.  В Лондоне к ней тщательно готовились, уделяя особое внимание теме безопасности, которая так близка, думаю, всем читателям моего поста. Даже ракетные комплексы «земля-воздух» на крыши домов поставили.
Иллюстрацией к тому, насколько это все серьезно, может служить происшествие, свидетелями которого стали наши хорошие знакомые, живущие в самом центре Лондона.
Итак, дорогой, престижный район. Рядом – знаменитая Бейкер-стрит, с крыши трехэтажного особнячка, где знакомые и проживают, видны Хэрродз и Сэлфриджес.
И вот в начале этой недели детишки соседей решили поиграть. В войнушку. Достали из своих детских арсеналов лучшие образцы стрелкового вооружения, проверенные калаши и М16, и отправились на операцию …, ну конечно же, на крышу этого самого дома.
Бой был жарким, но недолгим. Через несколько минут над крышей завис полицейский вертолет. Еще через несколько узенькие переулки чинного фешенебельного квартала забили восемь полицейских машин, из которых повыскакивало человек 15 полицейских (остальные остались на подстраховке внизу, блокировав все пути к отступлению). После короткого штурма крыша была взята под контроль, а детишки – под охрану. Через некоторое время приехал следователь. Любопытных соседей, интересовавшихся неожиданными событиями во всегда тихом доме, попросили оставаться в квартирах. Особо любопытным, пытавшимся подсматривать в дверные глазки, лондонские «бобби» эти самые глазки заклеили. Снаружи, естественно – никакого незаконного вторжения.
В общей сложности операция по блокированию малолетних террористов, включая следственные действия, продолжалась 4 часа.
Жертв и пострадавших не отмечено. Оружие, похоже, изъято. Вертолет улетел.
Олимпиада откроется сегодня, 27июля (точнее, уже завтра), в 00 часов Москвы. Хороших вам выходных. У телевизора с Олимпиадой. Она под надежной защитой.

20 июля 2012 г.

Вебинар: Типовые ошибки операторов при построении системы защиты персональных данных

Во вторник, 24 июля компания «Код Безопасности» проводит бесплатный вебинар «Типовые ошибки операторов при построении системы защиты персональных данных. Способы решения проблем соответствия требованиям 152-ФЗ». Ну, а рассказывать про типичные ошибки и способы достижения соответствия требованиям регуляторов буду я.
В основе семинара – обзоры типичных нарушений, выявляемых в ходе контрольной и надзорной деятельности, в первую очередь – ФСБ России и ФСТЭК России, поскольку речь пойдет, в основном, о проблемах технической защиты. Бытует расхожее мнение о том, что до наделения этих органов соответствующими полномочиями на предприятиях и в организациях, не являющихся государственными, проверок с их стороны ждать не стоит. Да и планы проверок этих уважаемых федеральных служб составлены так, что разобраться в них сложно – в плане ФСТЭК на 2012 год среди поставленных целей проверки выполнения требований по защите персональных данных нет, а в плане ФСБ проверяемые вопросы вообще не указаны, и узнать из него, какие проверки будут проводиться именно по тематике персональных данных, нельзя.
Но есть еще сайт Генеральной прокуратуры, на котором размещен «Сводный план проверок субъектов предпринимательства на 2012 год». И пусть вас не смущает название – в плане есть сведения не только о проверках коммерческих организаций, но и органов власти. Построен он, правда, в виде поисковой системы, а среди параметров поиска целей проверки или проверяемых вопросов нет. Но если надо узнать, включена ли в план конкретная организация, и кто ее будет проверять, сделать это довольно легко. Можно попробовать и навскидку. Так, при вводе всего двух параметров – субъекта федерации и надзорного органа, можно выяснить, что из пяти проверок ФСБ, например, в Республике Адыгея три посвящены контролю за выполнением хорошо знакомого всем читателям Постановления Правительства № 781, т.е. как раз защите персональных данных с использованием криптографических средств.
Деятельность ФСБ и ФСТЭК в области персональных данных не так публична, как Роскомнадзора. Но кое-что узнать о ней все-таки можно. Я уже писал, что в этом году в «Отчет о деятельности Уполномоченного органа по защите прав субъектов персданных за 2011 год» включены сведения о проверках этих федеральных служб. Есть еще публичные выступления на различного рода конференциях и редкие статьи в специализированных изданиях.
На базе всего этого материала и будут проанализированы типичные недостатки при построении подсистемы безопасности информационных систем персональных данных, вызывающие претензии регуляторов, а к ним добавим еще и те ошибки, которые иногда выявляются в ходе проектной деятельности и связаны с подходом самого оператора персональных данных к их обработке. Т.е. говорить мы будем про грабли в траве, наступать на которые смысла никакого нет.
Предвижу ехидные записи, появляющиеся на подобных проводимых мною вебинарах в чате: «Рекламная пауза!». Да, «латание дыр» и эффективные решения будут проиллюстрированы примерами с продуктами компании «Код Безопасности». Если кто-то ждет чего-то другого от бесплатного вебинара, организуемого и проводимого вендором, стоит задуматься над адекватностью восприятия мира J и воздержаться от участия в этом мероприятии
Регистрируйтесь. На прошлом вебинаре было более 200 слушателей. Мест, как показывает опыт, может не хватить тем, кто решит поучаствовать слишком поздно.

16 июля 2012 г.

Безопасность критически важных объектов. Послесловие

После публикации Cnews комментариев к «Основным направлениям государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» в наше агентство поступает много вопросов, связанных с этим документом.

Поскольку, по понятным причинам, портал опубликовал только часть из наших комментариев, и тема вызывает живой интерес, наш полный текст публикуем ниже.
_____

Безопасность АСУ ТП в целом, и тем более на критически важных объектах инфраструктуры, - одна из наиболее острых проблем на сегодняшний день, и государственное регулирование этих вопросов, безусловно, необходимо.

Очень важным представляется предусмотренное «Основными направлениями…» создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов.

К другим достоинствам документа я бы отнес выдвижение требований к разработчикам систем АСУ ТП и введение ответственности за нарушение порядка их разработки, однако, учитывая, что большинство из них – зарубежного производства, не ясен порядок реализации этого требования.

Документ четко определяет необходимость использования механизмов лицензирования и сертификации при обеспечении безопасности автоматизированных систем управления критически важными объектами (КВО).

Проблемы – нет исчерпывающего перечня критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации. Т.е. что делать – определяется, а вот кому – пока не ясно.

Безопасность критической информационной инфраструктуры рассматривается почему-то только с точки зрения защищенности от компьютерных атак, а вот угрозы не антропогенного характера – стихийные бедствия, катастрофы на объекте, пожары, угрозы терроризма, не связанные с компьютерными атаками, почему-то в качестве угроз не рассматриваются, хотя они весьма и весьма реальны и могут привести к катастрофическим последствиям.

Не ясен механизм предусмотренного документом недопущения технологической или иной зависимости от иностранных государств при осуществлении деятельности в области обеспечения безопасности автоматизированных систем управления КВО в условиях, когда большинство используемых в России систем АСУ ТП (SCADA) – зарубежного производства, а Минсвязи, в лице нового министра, говорит о нецелесообразности продолжения работ по созданию национальной программной платформы. Да и предусмотренное «Основными направлениями…» создание условий, стимулирующих развитие на территории Российской Федерации производства телекоммуникационного оборудования, устойчивого к компьютерным атакам, без создания реальных преференций разработчиками и их государственной поддержки может остаться только лозунгом.

Пункт 10 «Основных направлений…» предусматривает выполнение очень большого объема работ, который может быть профинансирован и реализован только государством, однако об источниках финансирования в документах нет ни слова.

Совершенно непонятны методы реализации предусмотренных п.12 мер, связанных с квалификацией руководителей и персонала объектов, осведомленностью граждан в области информационной безопасности, тем более, что системы аттестации в области ИБ в нашей стране нет вообще, а задача «формирования в общественном сознании нетерпимости к лицам, совершающим противоправные деяния с использованием информационных технологий» представляется совершенно абстрактной.

В нарисованной в п.17 дорожной карте реализации «Основных направлений…» не просматриваются работы по определению требований к безопасности АСУ ТП КВО, в том числе – к их разработчикам, что очень удивительно.

И, наконец, в документе вообще не упоминается ФСТЭК России, фактически все функции реализации программы возлагаются на ФСБ России, в зоне ответственности которой ранее были только криптографические средства защиты и информационная безопасность высших органов власти. Между тем, реализация «Основных направлений…» требует принятия большого количества нормативно-правовых актов, часть которых, в соответствии с действующими документами, входит в компетенцию ФСТЭК России.
_____

Также мы можем порекомендовать познакомиться с интересной, на наш взгляд, точкой зрения Алексея Лукацкого.

12 июля 2012 г.

Безопасность критически важных объектов: процесс пошел!

Почти год назад я написал большой пост про автоматизированные системы управления технологическими процессами (АСУ ТП) и колоссальные опасности, связанные со злоумышленным вмешательством в их работу. С тем, что тема крайне важная, соглашаются в последнее время все эксперты. Привлекла она, наконец, и внимание Совета безопасности, принявшего 12 июля «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации». Новый документ сегодня подробно комментирует CNews.

Так что, коллеги, процесс пошел и, может быть, недалеко то время, когда приоритетом общества и государства станет обеспечение реальной безопасности ее граждан.

9 июля 2012 г.

Читая приговоры…

Лето оказалось совсем не отпускным. Столько работы в это время еще никогда не было. Особенно активизировался интерес к коммерческой тайне. В ходе одного из проектов пришлось детально разбираться с решениями и приговорами судов по поводу разглашения коммерческой тайны.

Из них можно вынести много весьма полезной информации о том, как воспринимаются судами аргументы сторон при разборе подобных дел, и что надо учесть (куда соломки подстелить), если одной из задач установления режима является возможность привлечения виновного в нарушении исключительных прав на секрет производства к дисциплинарной, административной или уголовной ответственности. Я как-то об этом писал, но появились и новые решения.

Итак, первое и главное. В последние пару лет суды научились анализировать полноту принятия мер по установлению режима, предусмотренных частью 1 статьи 10 ФЗ «О коммерческой тайне» и организации работы с информацией, составляющей коммерческую тайну (ИКТ), предусмотренных частью 1 статьи 11. Это очень радует, поскольку ранее судьи в это особо не вникали. К примеру, не признается законным увольнение работников по п.п. «в» пункта 6 ст.81 ТК РФ (разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей), если даже часть режимных мер не принята – нет учета лиц, получивших доступ к ИКТ или грифов на документах в электронном виде. Можно высекать на граните и ставить на проходной организации цитату из одного приговора: А.Б.В. «не может нести неблагоприятные последствия за бездействие других работников этого юридического лица, ненадлежащую организацию с их стороны работы по охране сведений конфиденциального характера, невведение обладателем информации в отношении нее режима коммерческой тайны».

Суды, как с этим не пытаются спорить некоторые коллеги, принимают доказательства неправомерных действий, собранные службой безопасности или ИТ-подразделением пострадавшего работодателя, - электронные письма, копии баз данных, даже логи, причем, по понятным причинам, к электронным письмам отношение гораздо более благосклонное, чем к логам. А вот конструкции типа «мог предположить, что данные сведения составляют», «имел основания полагать», «другие лица, кроме него, не могли», отметаются напрочь. Как замечательно написано в одном из приговоров, «предположительные доводы органа предварительного следствия и стороны государственного обвинения о наличии в действиях А.А.А. состава преступления, не основаны на нормах материального и процессуального права и не могут быть положены в основу обвинительного приговора суда». А в одном из процессов суд напомнил работодателю, что такого основания для отстранения от работы, как разглашение секретов, Трудовой кодекс не предусматривает (см.ст.76 с исчерпывающим перечнем оснований).

Весьма значительная часть судебных процессов посвящена краже, выносу, уносу, продаже, передаче клиентских баз. Недаром профессия «менеджер по продажам со своей базой» - самая востребованная на рынке труда. При этом, определяя обладателя охраняемой информации и возможность ее независимого получения самостоятельно одной из сторон, суды стали сравнивать оспариваемые сведения, и, при наличии большого количества совпадений, принимать сторону того, от кого эта информация ушла к конкуренту.

Есть совершенно замечательные решения. Суд посчитал отправку работником письма с персональными данными другого работника со своего служебного почтового ящика на свой же почтовый адрес публичного сервиса www.mail.ru разглашением. Читаем внимательно: «Пользовательским соглашением, текст которого размещен на сайте www.mail.ru, в соответствии с условиями которого ООО «Мэйл. Ру» может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 ФЗ "Об информации, информационных технологиях и защите информации" названная компания является обладателем информации». Вот так. Поэтому увольнение по тому же п.п. «в» пункта 6 ст.81 ТК РФ (разглашение персональных данных другого работника) суд посчитал правомерным, причем доказательства отправки сам работодатель в суд и принес. На заметку всем обладателям охраняемой законом информации. Открывается новый пласт ограничительной деятельности, особенно для тех, кто допускает использование публичных почтовых сервисов.

В связи с этим очень интересным представляется еще одно решение. Определяя обязанности своего работника по охране коммерческой тайны, обладатель обязал его «не распространять сведения, составляющие конфиденциальную информацию, следующими способами: устно, письменно, в средствах массовой информации». А он отправил их «электронным способом, не охватываемым условиями Соглашения о конфиденциальности, соответственно чему доказательств распространения работником конфиденциальной информации способами, предусмотренными Соглашением о конфиденциальности, суду ответчиком не представлено». А? Каково? Я всегда говорил, что в защите информации ограниченного доступа 80% работы связано с правовыми и оргмерами, и только 20% - с техническими.

И, наконец, про технические меры. Сложилось впечатление, что будь у пострадавших от неправомерных действий инсайдеров поставленная система контроля-блокирования-логирования, и дел самих могло бы не быть, а уж если случилось бы – в суде выиграли бы точно.

4 июля 2012 г.

Замечательная коллекция

Постепенно складывается замечательная коллекция – паспортно-визовый центр, исправительная колония и т.д.

ФГУП «Паспортно-визовый сервис» ФМС России привлечено к административной ответственности за непредставление сведений об обработке персональных данных - http://64.rsoc.ru/news/news38330.htm.

Управлением Роскомнадзора по Республике Мордовия в отношении Федерального казенного учреждения «Исправительная колония № 13 Управления Федеральной службы исполнения наказаний по РМ» составлен и направлен мировому судье для рассмотрения административный протокол по статье 19.7 КоАП РФ за непредставление в государственный орган сведений, предоставление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности - http://rsocnews.ru/2012/05/28/post11270/.

Интересно, как все это влияет на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну», ради которых принят 152-ФЗ «О персональных данных», и кому не ясно, что все подобные организации (как и все юрлица) обрабатывают персональные данные? Может, не надо мешать им работать и делать дело, предписанное законом?

3 июля 2012 г.

Что день грядущий... Или ждать ли изменений требований к средствам защиты персональных данных?

Именно такого рода вопросы я часто получаю в последнее время. Информация ниже – мой ответ для интересующихся этой темой.
Появилось огромное количество публикаций относительно темы обязательности сертификации средств защиты персональных данных. Отсутствие слова «сертификат» в новой редакции Федерального закона «О персональных данных», Постановлении Правительства России № 781 2007 года и даже в Приказе ФСТЭК России № 58 постоянно рождает надежду, что можно придумать какой-нибудь другой способ подтверждения соответствия, который не привел бы к конфликту с регулятором в ходе проверки, и не был бы связан с обязательной сертификацией средств защиты в системах ФСБ и ФСТЭК, изначально созданных под государственную тайну.
Мои рассуждения на тему можно ли найти другой способ подтверждения соответствия, который не привел бы к конфликту с регулятором в ходе проверки, и не был бы связан с обязательной сертификацией средств защиты – в статье, опубликованной компанией «Код безопасности».