31 октября 2011 г.

Конференцией по DLP навеянное

С удовольствием провел пятницу на 4-й международной конференции по DLP. То же «Инфопространство», что и на конференции по персданным, но как-будто другой мир. В ИБ стали появляться нестандартные, отлично организованные мероприятия. И люди вроде бы все те же, знакомых – больше половины зала. И тема понятная, и не новая (хотя бы потому, что конференция четвертая). Но ведь интересно!
Четыре белых кресла на сцене, внятный ведущий-модератор, первое же перпендикулярное выступление от IDC (а про DLP вообще не говорим, у нас – другое), затем – совсем неожиданная, редкой честности и глубины, с раскладываем ситуации по полочкам презентация Натальи Касперской, следом – Владимира Денежкина из «Трафики», совсем молодого вендора подобных решений, в котором вся почтительность к маститому конкуренту (а как еще иначе назвать?) сводились к обращению «Наталья Ивановна». И понеслось.
Какая-то совсем неформальная атмосфера, полное отсутствие традиционных для такого мероприятия оргпроблем. Шампанское и саксофон на десерт.
Не буду пересказывать, кто и чего сказал. После обеда было пять или шесть параллельных потоков, а побывал только на одном. Было бы несправедливо только об услышанном говорить.
А вот поделиться выводами из того, что услышал, готов. Наиболее концентрировано проблемы, сдерживающие внедрение DLP обозначила Н.Касперская, и сводятся они к достаточно очевидному: заказчик хочет быстро и дешево, да еще так, чтобы поставил и забыл. А получается исключительно дорого и долго, и системами надо постоянно заниматься. Из-за этого они плохо развиваются, медленно наращивается функциональность. Кроме этой глобальной проблемы по-прежнему нет переводчика между бизнесом, которому вроде бы такие решения нужны, и ИБ, которая их вдвигает. Объяснить, зачем, чаще всего не получается. Да еще по-прежнему вызывает сомнение сама законность применения средств контроля за действиями работников. Россию можно считать еще более-менее нейтральной страной между не слишком боящимися нарушения privacy азиатскими государствами и европейцами, категорически не готовыми спорить с профсоюзами, защищающими права работников.
Вся эта гремучая смесь сдерживает внедрение полезной, а иногда – и крайне необходимой системы.
Что по этому поводу думается. Научиться разговаривать с бизнесом все-таки придется. Именно из-за дороговизны, сложности и специфичности используемых методов защиты. Детскую болезнь ИБ лечить все равно надо.
Почему плохо продается? Потому что пытаются продавать софт, решение, продукт. Не получится. Продавать надо технологию, заточенную под конкретную проблему (или проблемы), и не с мануалом, а с дорожной картой. А для этого с бизнес-проблемами придется разбираться разработчикам или нанимать того, кто разбирается. И не просто нанимать, а еще и учитывать их мнение при разработке,
Внедренцы должны прийти, понять, для чего систему собираются использовать, и рассказать, как этой цели достичь. Например, защищать коммерческую тайну. Как конкретно? Какие конкретно процедуры запустить? Как организовать контроль? Можно ли срастить DLP с IAMS, IRM/RMS и СЭДО? Объяснят – купят. Нет – соответственно.
Надо определять роли и права, инвентаризовать ресурсы и выделить в них защищаемые сведения. Причем рассказать, как это сделать и при чем здесь DLP, должны внедренцы, не надеясь, что заказчик все сделает сам, а их дело - только поставить и запустить собственно систему.
Пока это не осилят, продаваться будет плохо. Потому что дорого, сложно и долго. Очень хочется надеяться, что осилят. У решения обозначилась очевидная ниша, причем, что очень важно – именно для бизнеса, а не для ИБ. Не для межсетевого экранирования или предотвращения вторжений, объяснить суть которых бизнесу практически невозможно. А для предотвращения ухода к конкуренту коммерчески ценной информации. Или поимки крота конкурента. Или уменьшения стоимости эксплуатации покупаемых ИТ-сервисов. Это все – про деньги И бизнесу понятно. Если объяснить.

28 октября 2011 г.

Кадровикам и юристам - ликбез по информационной безопасности

8 ноября в Учебном центре «Информзащита» – однодневный учебный курс «Информационная безопасность для специалиста кадровой службы».

Если Вы хотите разговаривать с кадровиками и юристами своего предприятия на одном языке – присылайте их учиться.

Если Вы кадровик или юрист и на Вас взвалили проблемы персональных данных, договоров с работниками в части коммерческой тайны, приходите учиться сами.

Если Вы ждете проверку Роскомнадзора и не знаете, как она проходит – найдите того, кто будет встречать гостей и пришлите его (ее) учиться.

Ну, и все кому интересна практика правоприменения ст.83 ТК в части увольнений работников за разглашение секретов – для Вас тоже будет много интересного.

Места в группе есть. Пока. Телефоны для записи: +7 (495) 980-23-45 доб.04.

27 октября 2011 г.

2-я Международная конференция «Защита персональных данных»

Сегодня открылась, состоялась и закрылась 2-я Международная конференция «Защита персональных данных». Полный рабочий день. Один зал, один поток.
16 стран-участниц. Более 250 заявившихся участников (начинали, похоже, чуть меньше, но примерно так). 22 выступления (из них 4 – от зарубежных стран, Украина, Польша, Эстония, Германия). Часовой «круглый стол» вопросов и ответов с участием представителей всех трех регуляторов на весьма высоком уровне (ВРИО и зам. начальника управления Роскомнадзора, начальники управлений ФСБ и ФСТЭК).
Порадовало: почти без пафоса (несколько приветствий из рабочего графика не вывели, и даже в них была информация), без отчетов о проделанной работе, расшаркивания делегаций. Интересная информация в выступлениях представителей госорганов. Особо порадовало: блестящее выступление Каи Пуссеп, заместителя генерального директора Инспекции по защите данных Республики Эстония. О нем подробнее – в конце.
Огорчило. Выступления спонсоров. Без изюминок, правда, почти без рекламы. Отсутствие выступлений не-госов, не-объединений и не-спонсоров, за исключением двух от ИГП РАН. Иллария Лаврентьевна говорила, как всегда интересно, но слабо верится, что ее услышат законодатели, к которым это обращалось. «Научный» доклад от того же ИГП про персданные и СОРМ навел жуткую тоску. Два выступления от представителей объединений операторов (Всероссийский союз страховщиков и Российская ассоциация маркетинговых услуг) были похожи на импровизации неофитов, узнавших про что-то новое и интересное. Особо огорчило: неспособность Роскомнадзора разъяснить не только положения закона, но и свою позицию.
Самое интересное.
Замминистра связи И.И.Массух сказал про две главные проблемы: (1) ослабление давления на операторов класса «школа-больница», необходимость защиты информации и у них, поиска баланса; (2) необходимость решения до конца года(!) проблемы обработки персональных данных с использованием облачных технологий. Здорово. Не будем запрещать, будем искать пути решения. Очень хочется надеяться, что так и будет.
Замначальника управления Минкомсвязи А.П.Гермогенов. Про сложности доработки закона, межведомственную группу с представителями 80 организаций и обсуждением 400 предложений. Проанализировал (системно, с анализом интересов оператора и субъекта) изменения закона. Похоже, Россия убедила Евросоюз в независимости Роскомнадзора и ратификационные грамоты у нас примут. Рассказал про перспективы. Будет четыре постановления Правительства: (1) про перечень мер для госов и муниципалов, (2) про уровни защищенности в зависимости от угроз, (3) про требования к защите, обеспечивающие заданные уровни защищенности и (4) про порядок согласования с ФСБ и ФСТЭК предложений объединений операторов по дополнительным угрозам.
ФСБ и ФСТЭК определят состав и содержание защитных мер, а Роскомнадзор – перечень адекватных стран.
Также сказал про облачные сервисы и необходимость регулирования отношений при их предоставлении (кто оператор, как соотносится ответственность поставщика и потребителя облачных услуг, кто несет ответственность за неправомерную обработку персданных, в том числе – за передачу их за рубеж).
Подчеркнул важность исследований по рискам и разработки механизмов оценки ущерба при инцидентах с персданными.
Сказал про необходимость международного сотрудничества по предотвращению распространения незаконно полученных персданых (про пресечение всяких там RusLeaks и  Zhiltsy, мигрирующих из ru в com, net и далее много и правильно говорил и Р.В.Шередин), про критерии оценки защищенности за рубежом при трансграничной передаче.
Начальник Управления ФСБ О.А.Залунин подчеркнул, что ФСБ будет проверять только госы до делегирования полномочий Правительством. Все новые документы должны появиться к середине 2012 года. Главный принцип их разработки – максимальная преемственность по отношению к существующим (ПП-781 и П-58, в частности). Все, что сделано операторами, надо сохранить. До выхода новых действуют все ранее принятые НПА (ПП-781, П-78, два документа ФСБ).
Три главных недостатка, выявляемых при проверках ФСБ:
1.       Несоответствие используемых классов СКЗИ определенным в модели нарушителя (в сторону снижения, естественно).
2.       Истечение сроков действия сертификатов ФСБ.
3.       Отличие используемых версий СКЗИ от тех, которые проходили сертификацию.
Особо остановился на низкой квалификации персонала из-за высокой текучести кадров (видимо, в госах).
В целом, по мнению ФСБ, ситуация с использованием СКЗИ стала лучше, а через год будет совсем хорошей.
Интересные особенности украинского законодательства про ПДн отметил В.Ф.Козак, замглавы Госслужбы по вопросам защиты ПДн Украины, но нам это как-то фиолетово, поэтому опущу. Может быть, как-нибудь позже.
А.П.Курило из ГУБЗИ Банка России, как всегда, системно, разобрал ситуацию по косточкам. Отметил мировой тренд – операторы все делают по защите сознательно и сами, а главное в обеспечении безопасности – правильная организация аудита. В России все отраслевые требования и методики контроля должны удовлетворять регуляторов. Похоже, меняется позиция ЦБ относительно лицензий по ТЗКИ, аттестации и сертификации. Появился новый подход: движение в сторону комфортных требований. Про СТО БР – мнение регуляторов запрошено, ЦБ ждет ответов, пока все, о чем договаривались раньше (письмо шестерых) в силе.
Интересно. Будем наблюдать за развитием событий.
Борис Рейбах, адвокат из Германии, назвал Россию неадекватной и обидел Роскомнадзор. Потом быстро стушевался и ответил «Абсолютно!» на филиппику Ю.С.Забудько.
Из спонсоров. Самый интересный доклад был у С.В.Вихорева из ЭЛВИС-Плюс про аутсорсинг обработки, но в конце Сергей Викторович озадачил фантастическим выводом об отсутствии необходимости согласия субъекта на передачу. Комментируя его выступление, Ю.С.Забудько сделала не менее интересное заявление о том, что обработчиков в ФЗ-152 нет, все, кто обрабатывает – операторы. Обсуждать этот тезис отказалась резко и категорично, подчеркнув, что не будет обсуждать его и на круглом столе. Остался в полном недоумении.
На круглом столе было грустно. Вопросы, практически все, вызывали у представителей Роскомнадзора затруднения, точка зрения по мере поступления допворосов из зала менялась на противоположную. Спросил про согласие субъекта на доступ к ПДн юрлица, назначенного ответственным за организацию обаработки, про статус персданных ответственного физлица при размещении их в общедоступном Реестре, про исключительно автоматизированную обработку персданных в ЖКХ (Мосэнергосбыт, Мосгортепло, Мосводоканал) не только без письменного согласия, но и без договора с субъектом-жильцом. Ответы не привожу. Бесполезно. Попытка уточнить встретила жесткий отпор: «Все, закончили». Как-то стало не по себе. Вроде не на ковер ходил, а на оплаченное мероприятие. За ответами.
В заключении – о хорошем. Об отличном. Позавидовал белой завистью жителям Эстонии, имеющим такого регулятора и уполномоченного. Кая Пуссеп: «Мы работаем с горящими глазами, и вдруг узнаем, что о нас знает всего 18% жителей страны. Позор. Нам было очень стыдно, мы пали духом и решили радикально поменять подход. В офисе инспекции запретили использовать термин «субъект». Это же люди, наши граждане! Они должны нам верить, идти к нам. Теперь мы не возбуждаем дела по жалобам. Мы защищаем конституционные права граждан. Нас мало, а дел много. Надо сосредоточиться и вмешиваться только там, где риски инцидентов выше. Оценка – по британской модели: тяжесть нарушения, уязвимость потерпевшего, степень и продолжительность вмешательства. В системе мер воздействия – наказания на последнем, пятом месте. Выше них: (1) разъяснение и информирование, (2) формирование правовых обычаев, (3) политические консультации [операторов], (4) досудебное разбирательство (омбудсмен). Публикация информации о долгах, в том числе – в подъездах домов о не внесших квартплату. При максимальном наказании 32 тысячи Евро за 2010 г. выписано два (!) штрафа. Остальное – профилактика. Между прочим, Билл Гейтс и его Excel Эстонии для персданных не годятся, т.к. нельзя сказать, кто, когда и как их обрабатывал. А для персданных нужны специальные решения. С логированием. Главное – добиться изменения отношения граждан и операторов к Инспекции (не враг, а компетентный помощник в решении проблем)».
Я слушал, конспектировал и млел. Давненько я не получал такого удовольствия от выступления про персданные. Разительный пример того, как ратификация одной и той же конвенции в разных странах может привести к радикально разным законам и практике их правоприменения.

10 октября 2011 г.

Зачем министру знать Трудовой кодекс и ФЗ-152?

По сообщению радиостанции «Голос России», «министр транспорта РФ Игорь Левитин поручил Росавиации сделать доступной для всех авиакомпаний базу данных командиров воздушных судов, в которой содержится информация об их обучении, переподготовке, количестве часов налета и так далее. Об этом глава Минтранса сообщил в понедельник на совещании, посвященном повышению безопасности полетов. При этом отдельно в базе будет выделен раздел о нарушениях, допущенных летчиками. «И если пилот провинился в одной авиакомпании, это будет сигналом руководителям других авиакомпаний очень серьезно подумать, прежде чем его взять», - сказал Левитин».
Правовой нигилизм наших чиновников, даже самых высокопоставленных, и презрение к законам своей же страны поразительны. Приказал - и пусть делают. А что там написано в законах – дело десятое.
Наверное, озвученное предложение министру кто-то подготовил. Проработал. А те, кто это делал, законов тоже не читали. А зачем? Это пусть коммерсанты заморачиваются. К ним там Роскомнадзор ходит. А не в госорганы. Правда, коммерческий Сбербанк в прошлом году вывесил список уволенных их банка за утрату доверия, а главный уполномоченный по защите прав субъектов скромно сделал вид, что ничего не было. Список повисел, выполнил, как заявили в Сбербанке, воспитательную функцию – и все тип-топ.
Я тоже считаю, что пьяный летчик, допущенный к управлению – преступление. Но, уж если мы хотим, чтобы законы выполняли, надо начинать их выполнять в государственных органах.
Для справки, тем, кто в Минтрансе готовил предложение про командиров судов.
Трудовой кодекс РФ. Статья 88. Передача персональных данных работника: «При передаче персональных данных работника работодатель должен соблюдать следующие требования … не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами».
Федеральный закон «О персональных данных». Статья 7. Конфиденциальность персональных данных: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».
Так что алгоритм действий законы предлагают совсем другой. СНАЧАЛА внесите изменение в закон (а право законодательной инициативы у министерства есть), а уж ПОТОМ поручайте Росавиации раскрыть базу командиров судов другим компаниям. А никак не наоборот.
Господа чиновники, читайте законы. Они не только для налогоплательщиков писаны.

3 октября 2011 г.

Роскомнадзор требует признать незаконным сайт с данными россиян

Реакция Роскомнадзора как никогда оперативна - http://www.rbc.ru/rbcfreenews/20111003125157.shtml
Будем ждать дальнейшего развития событий.
Суд и ФСБ - это уже  интересно.

2 октября 2011 г.

Достойное занятие для надзорных органов

История развивается по спирали. И вот новый виток. На смену сайтам с базами данных россиян Sherlok и Radarix пришел новый ресурс RusLeaks на трех зеркалах в зонах .com, .org и .net. Кстати, для справки. Управление «К» МВД еще в 2004 г. гордо доложило о прикрытии сайта Sherlok.ru, а он жив и здоров.
На RusLeaks размещено 185 баз со сведениями о российских гражданах, большинство из которых не старше 2004-2005 гг. Не хочу обсуждать вопрос, «кому и зачем это нужно». Благоглупости создателей сайта про борьбу с коррупцией оставим на их совести или спишем на воспаленное воображение. Проверил сведения о себе. Если знание того, куда я шесть раз летал на самолете в 2006 г., способствуют победе над самой страшной бедой России, я не возражаю, пусть там данные лежат.
Я о другом. Интернет трубит, блоги дымятся, форумы захлебываются.
Гробовое молчание хранят лишь те, кто поставлен государством за наши с вами деньги налогоплательщиков следить за соблюдением наших же прав. Уполномоченный орган по защите прав субъектов отнюдь не торопится встать на их защиту. А ведь, значительно расширив ФЗ-294, чего у Роскомнадзора никто не просил, наш защитник добавил в Административный регламент в качестве основания для проведения внеплановых проверок получение информации из средств массовой информации о нарушении прав и законных интересов граждан действиями операторов при обработке их персональных данных. Уж раз добавили, надо выполнять. Первые сообщения в СМИ появились в прошедший четверг. Пора бы и среагировать.
Безмолвствует Прокуратура, задача которой – осуществлять надзор за соблюдением прав и свобод человека и гражданина. Не отвечает на звонки Forbes Управление «К» МВД - главный орган в противодействии высокотехнологичным преступлениям. Ни под каким видом не комментируют произошедшее ФСБ, МВД, налоговая инспекция и ФАС, чьи, пусть и устаревшие, сведения, выброшены в открытый доступ.
Порадовали меня, как клиента, своим глубоким знанием закона представители банка ВТБ, чьи данные тоже стали доступны: «Банк несет ответственность только в том случае, если доказано, что он распространял сведения о клиентах по собственной инициативе». Правда? А в законе «О персональных данных» написано совсем не так: «Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных». И про инициативу оператора нет ни слова.
А утечка-то - значительная. Как там в «приказе трех» о классификации ИСПДн? Сделаны общедоступными данные в информационной системе (а поскольку интерфейс поиска на сайте RusLeaks общий, вся совокупность размещенных на нем баз данных – это одна ИСПДн), для которой нарушение заданной характеристики безопасности обрабатываемых персональных данных может привести к «значительным негативным последствиям» для субъектов персональных данных. И сделаны общедоступными отнюдь не субъектом и без его письменного согласия.
Вот они, значительные негативные, и наступили. И что?
Понимаю, что проверять Мильковскую сельскую школу в камчатской глуши или сельхозтехникум в Туве по проблемам возможного использования ими криптографии для защиты персданных учащихся значительно проще и приятнее. Как и требовать соответствия письменного согласия пациента закону в кожно-венерическом диспансере или выписывать штрафы за отсутствие уведомления или его несоответствие чему бы то ни было.
Cлучился как раз тот случай, ради которого писался закон, и пора всю государственную машину развернуть на пресечение наглого, грубого и демонстративного его игнорирования. Пусть для этого необходимо связаться с властями Швеции или других стран, где размещены сервера, добиться прекращения противоправной деятельности и выполнить все необходимое для восстановления попранных прав российских граждан. И не забыть проинформировать о принятых мерах налогоплательщиков.
Каждый должен отрабатывать свой хлеб. А иначе – за что мы платим налоги?