среда, 9 августа 2017 г.

ПДн. НПА. Рекомендации Роскомнадзора по составлению политики обработки ПДн

Недавно Роскомнадзор подготовил и опубликовал на сайте Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».


У меня в целом положительное отношение к данным рекомендациям. Объясню почему: зачастую Операторы ПДн относятся к публичной политике ПДн как к типовой декларации на одну страницу – туда попадают какие-то типовые вещи, а все подробности остаются во внутренних документах Оператора. Но пользователю/клиенту этой типовой декларации может быть недостаточно для принятия решения о том, стоит ли пользоваться услугой и насколько она безопасна.

Роскомнадзор порекомендовал указывать в политике некоторые сведения, которые операторы уже обязаны указывать в уведомлении Роскомнадзору. Всё равно эти сведения доступны через реестр операторов ПДн, так зачем заставлять клиента ходить за сведениями на внешние ресурсы, если можно указать это в политики. Роскомнадзор порекомендовал указывать дополнительную информацию о передаче ПДн третьим лицам, которая свидетельствует о том, что оператор соблюдает основные принципы обработки ПДн. Рекомендовали описать регламент взаимодействия с субъектом ПДн и привести в примере формы – это будет полезно клиентам, решившим обратится к Оператору ПДн.

В общем то приведенные рекомендации соответствуют и подходам к политике обработки ПДн, принятым в евросоюзе: пример 1, пример 2.

Но есть у меня и несколько замечаний к Рекомендациям:
·         В уведомлении Роскомнадзора категории ПДн и категории субъектов разбиваются по информационным системам, а в Политике в соответствии с Рекомендациями надо разделять по целям обработки. Для оператора ПДн это двойная работа и сложная кросс аналитика. Можно было бы использовать какой-то единый подход.
·         В описании передачи ПДн третьим лицам Рекомендуется указывать перечень действий которые разрешено совершать с ПДн третьему лицу, требования по защите ПДн, которые Оператор предъявил третьему лицу. Тут Роскомнадзор не учел случаи, когда оператор передает данные не по своему желанию, а потому что обязан передать эти данные в соответствии с каким-то ФЗ (ПФР, ФНС и т.п.). И в таком случае он не знает, какие действия будет совершать с ними третье лицо, не может ограничить эти действия или установить требования по защите.
То, что приведено в Рекомендациях применимо только для таких случаев передачи ПДн третьим лицам, в которых Оператор самостоятельно поручает обработку ПДн третьему лицу (обработчику).
·         Авторам Рекомендаций надо было привести примеры, больше примеров !!!, того что можно писать в каждом разделе. Эти примеры есть у Ромкомнадзора в Реестре операторов ПДн. Они были бы полезны
·        Стоило бы рекомендовать указывать в Политике ФИО и контакты лица, ответственного за орг. обр. ПДн  
·         Не мешало бы привести пример полноценной политики, составленной в соответствии с Рекомендациями. Пока что политики Минкомсвязи и управлений РКН не соответствуют данным рекомендациям.

Чтобы немного сгладить последнюю оплошность привожу ниже пример политики обработки ПДн блога (в соответствии с частью 2 статьи 1 152-ФЗ на обработку ПДн физическими лицами для личных нужд не распространяются требования, но мы предположим, что на месте sborisov.blogspot.ru был бы какой-то корпоративный блог) имеющего форму обратной связи (недавняя шумиха с наказанием РКН сайтов, имеющих форму обратной связи, но не имеющих политики ПДн)



Альтернативная ссылка на случай если вариант выше недоступен.

четверг, 13 июля 2017 г.

ИБ. Защита бесконтактных банковских карт и эмуляций

Раз уж от бесконтактных банковских карт (на карте совмещены чип и NFC) не скрыться и добрались они даже до массовых зарплатных проектов, стоит ждать роста количества атак на них (скрытые списания, копирования, клонирования).  Давайте посмотрим какие у нас есть варианты более безопасного использования их:



1.       Экранирующий чехол с защитой RFID / NFC. Но покупать и использовать чехольчик для каждой отдельной карты – неудобно. Скорее уж при обновлении кошелька, выбирать сразу с RFID защитой.  
2.       Задать лимит на списание средств без ПИН-кода? Упс. Тут уже постарались без нас. По РФ действует лимит - до 1000 руб. в сутки можно оплачивать без ПИН. Поменять сумму невозможно
3.       Отключить возможность бесконтактной оплаты, оставив возможность обычной чиповой карты? Упс. Такой возможности нет. Ни со стороны банка, ни со стороны клиента.  
4.       Скопировать свою карту в телефон/смарт часы/браслет/кольцо с поддержкой NFC (в приложение Apple pay, Samsung pay, android pay, microsoft wallet и другое ПО). Выложить все бесконтактные карты дома.
5.       Не забывать про классические меры безопасности с вязанные с банковскими картами (SMS информирование, доверенные получатели, иметь под рукой номер для оперативной блокировки карты, помнить кодовое слово для разблокировки и т.п.)

Далее посмотрим какие варианты есть в случае если все ваши банковские карты сохранены на телефоне:
1.       Экранирующий чехол с защитой RFID / NFC
2.       Вывести кнопку управления беспроводного интерфейса NFC на быстрый доступ. По умолчанию держать выключенным.  При необходимости быстро включать одним нажатием

3.       Отключить возможность проведения платежа пока телефон заблокирован
iOS: Settings -> Touch ID & Passcode -> Allow access when locked: wallet – off
Android Pay и Samsung Pay:  это уже сделано по умолчанию.


4.       Настроить один из вариантов авторизации платежа (Pattern, PIN, or Password)

5.       Включить уведомления о платежах в телефоне. По умолчанию включено.
iOS: Settings -> Wallet & Apple Pay-> Card Notifications
Android:  это уже сделано по умолчанию.
Settings > Applications > Application Manager > Android Pay > Notifications
Samsung Pay -> Settings -> Notifications


6.       Не отдавайте надолго разблокированный телефон. Не допускайте установки вредоносного ПО на мобильное устройство – хотя на нем и хранятся виртуальные токены вместо данных пластиковых карт, но клонирование устройства с виртуальной картой в ряде случаев возможно.


четверг, 22 июня 2017 г.

ИБ. НПА. Изменения в 17 приказе по защите ГИС и согласования



Недавние изменения в 17 приказ ФСТЭК России, были небольшими, но породили множество вопросов. По самым важным я задал вопросы органу гос. контроля. Обещали подобную информацию, разместить в информационном письме на сайте ФСТЭК России, но для самых нетерпеливых привожу ответы здесь …

1. В соответствии с пунктом Требований 17.6 в случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы.
Приходилось сталкиваться с ситуацией, когда создается центр обработки данных (далее - ЦОД), в котором в дальнейшем предполагается размещения компонентов информационных систем, но на момент создания и аттестации ЦОД, в нем не размещается каких-либо ГИС.
На момент проведения испытаний ЦОД, в нем может быть развернута система защиты общей инфраструктуры ЦОД, но отсутствует система защиты информации ГИС. Например, могут быть развернуты средства межсетевого экранирования и обнаружения вторжений, но отсутствовать средства защиты от НСД и средства антивирусной защиты, так как отсутствуют серверы информационных систем, на которые устанавливаются такие средства защиты.
 На соответствие каким требованиям необходимо проводить аттестацию такого ЦОД и какие испытания, из перечня, приведенного в пункте 17.2 Требований, необходимо проводить во время такой аттестации?



2. В соответствии с пунктом Требований 17 проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.
Допускается ли проведение аттестационных испытаний в случае если внедрением системы защиты информации и аттестацией информационной системы занимаются различные подразделения одного лицензиата ФСТЭК России (разные физические лица, одно юридическое лицо)?


3. В соответствии с ч. 5 ст. 19 Федерального Закона от 27 июля 2006 г. "О персональных данных" №152-ФЗ (далее - 152-ФЗ) Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (т. е. Модели угроз).
В соответствии с ч. 7 ст. 19 152-ФЗ проекты нормативных правовых актов (моделей угроз), указанных в ч. 5 ст. 19 152-ФЗ подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, т.е. с ФСТЭК России.
Прошу уточнить, необходимо ли согласование с ФСТЭК России моделей угроз, разрабатываемых Департаментом информационных технологий, Министерством здравоохранения или иными гос. органами субъектов Российской Федерации и пояснить порядок такого согласования.

В дополнение к 3-ему ответу, сегодня на конференции Будни информационной безопасности в г. Кургане представитель управления ФСТЭК России по УФО анонсировал новый приказ ФСТЭК России №105 от 05 июня 2017 г. в котором определен порядок рассмотрения и согласования моделей угроз и технических заданий на создание ГИС, в частности указывающий отправлять документы по федеральным ГИС в московский ФСТЭК, документы по региональным ГИС и МИС в управления ФСТЭК по федеральным округам.



Устно представитель ФТСЭК рекомендовал следующий оптимальный порядок согласования: после подготовки документа созвонится с управлением по УФО, устно сообщить о желании согласовать, далее выслать документы по электронной почте на предварительное согласование, получить замечания или подтверждение что все ок и только после этого везти документы в бумажной форме на подпись. Такой вариант будет наиболее быстрым и позволит не возить бумагу много раз. 

пятница, 16 июня 2017 г.

СКЗИ. НПА. Ещё больше вопросов по применению криптографии

В рамках предыдущей статьи мы определили, что в обеспечении безопасности информации ограниченного доступа с использованием СКЗИ участвуют как минимум 2 лица: ОКЗИ лицензиата ФСБ России и обладатель информации (если он не лицензиат).


При этом ОКЗИ организует и контролирует работы с СКЗИ (но может и реализовывать), а обладатели информации выполняют указания ОКЗИ по всем вопросам организации и обеспечения безопасности информации с использованием СКЗИ. То есть, имеем коллективные усилия и ответственность в эксплуатации СКЗИ.

Естественно, что, когда 2 лица задействованы в одном процессе, хорошо бы распределить их зоны и регламентировать взаимодействие. Для этого и применяется инструкция ФАПСИ №152. В некотором приближении все мероприятия в Инструкции можно разделить на 3 блока:
·         внутренние требования к ОКЗИ (требования, которые лицензиат должен выполнить на своей стороне – помещения, персонал, свои документы)
·         требования, к мерам, которые ОКЗИ должны принять совместно с обладателем КИ на объектах обладателя КИ
·         требования к пользователям СКЗИ

Рекомендую всем ознакомится с Инструкцией и составить свое мнение. Но нам всё-таки показались недостаточно четко расписанными взаимоотношения ОКЗИ и обладателя информации, в связи с чем были написаны вопросы в ФСБ, отправлены по частям, получены ответы, которыми я и хочу поделиться далее. Скорее всего будут полезны для ОКЗИ, но и обладателям информации будет не лишним ознакомится.

Вопросы к ФСБответы, комментарии:
1. Одно из проблемных мест – зачастую Лицензиату приходится продавать СКЗИ заказчикам у которых нет ОКЗИ, откуда можно сделать вывод, что СКЗИ у них будет эксплуатироваться с нарушениями. Не является ли такая продажа СКЗИ нарушением? Должен ли продавец спрашивать у заказчика подтверждение наличия ОКЗИ до момента продажи СКЗИ? Может ли ФСБ при лицензионном контроле наказать за такие продажи?
Вопрос к ФСБ: В случае, если организация не обладающая лицензией ФСБ России (далее - Покупатель) обращается за приобретением средств криптографической защиты информации (далее - СКЗИ) к организации обладающей лицензию ФСБ России (далее - Продавец), должен ли Продавец проверять, имеется ли у Покупателя договор на услуги Органа криптографической защиты информации (далее - ОКЗИ) от какого-либо лицензиата ФСБ России?
Возможна ли продажа СКЗИ Продавцом Покупателю, если у Покупателя отсутствует договор на ОКЗИ?
Ответ от ФСБ: Необходимость проверки продавцом наличия у покупателя СКЗИ договора на услуги ОКЗИ нормативными правовыми актами не предусмотрена. Соответственно, продажа СКЗИ покупателю, не имеющему ОКЗИ возможна.

2. Ещё одна из проблем, с которой мы часто сталкивались – изначально ОКЗИ обслуживает только одно СКЗИ, следует ли из этого автоматически что ОКЗИ отвечает за все СКЗИ у Заказчика? В приказе ФАПСИ 152 недостаточно четко описан этот момент – создается впечатление что как только Лицензиат назначает ОКЗИ для заказчика, ОКЗИ автоматом отвечаем за всё и все СКЗИ. Что не очень логично
Вопрос к ФСБ: В случае если у Покупателя используются различные СКЗИ, например, КриптоПро CSP, АПКШ Континент и Покупатель дополнительно приобретает СКЗИ VipNet HW 1000, может ли ОКЗИ лицензиата ФСБ России обслуживать только часть СКЗИ Покупателя, например только защищенную сеть VipNet и не контролировать иные СКЗИ?
Как следствие, может ли у Покупателя быть одновременно несколько ОКЗИ для разных СКЗИ?
Ответ от ФСБ: Количество ОКЗИ для организации не регламентировано. У покупателя может быть несколько ОКЗИ для разных СКЗИ.   

3. Много раз мы сталкивались с ситуацией, когда изначально были подготовлены корректные документы по ОКЗИ, вся необходимая информация учтена в журналах, пломбы, хранилища, помещения – всё как положено. Но через месяц у заказчика все поменялось, часть документов стали неактуальны, часть мер перестали выполняться. Но каждый день выходить к Заказчику и контролировать чтобы он чего-то не поменял, ОКЗИ не может (либо это обойдется слишком дорого). Лучше раз в квартал, а то и раз в год. Из приказа ФАПСИ 152 непонятно, возможна ли периодическая работа ОКЗИ. Периодичность в приказе нигде не упоминается.
Вопрос к ФСБ: Приказом ФАПСИ №152 требуется контроль соблюдения правил эксплуатации СКЗИ со стороны ОКЗИ. В связи с тем, что представители ОКЗИ не могут постоянно находится на территории Заказчика и не могут контролировать пользователей Заказчика и актуальность документации непрерывно, допускается ли проведение такого контроля с определенной периодичностью, например, раз в неделю, месяц, квартал, год?
Ответ от ФСБ: Периодичность контроля соблюдения Заказчиком правил эксплуатации СКЗИ может устанавливаться ОКЗИ самостоятельно.

4. Опять же частая ситуация – в организации происходят отклонения от выполнения требований. Владелец информации ограниченного доступа самостоятельно нарушения не устраняет. В приказе ФАПСИ написано, что ОКЗИ также несет ответственность за эксплуатацию СКЗИ в соответствии с требованиями. Какие меры может принимать ОКЗИ в данном случае.
Вопрос к ФСБ России: Какие действия необходимо применять ОКЗИ в случае выявления у Заказчика нарушений правил эксплуатации СКЗИ? Какие действия необходимо принимать в случае если Заказчик не устраняет (отказывается устранять) выявленные нарушения?
Ответ от ФСБ: В случае нарушения пользователем правил эксплуатации СКЗИ следуем руководствоваться разделом 5 Инструкции ФАПСИ, в соответствии с которым ОКЗИ осуществляет разработку и принятие мер по предотвращению возможных опасных последствий выявленных нарушений и несет ответственность за принятие зависящих от него мер.
Приведенному ответу соответствует, например, следующая стратегия – ОКЗИ проводит периодический контроль, в случае выявления нарушений сообщает заказчику любым способом; если нет реакции пишет официальное письмо заказчику о необходимости устранения нарушений и ответа в определенный срок; в случае отсутствия ответа ОКЗИ пишет в ФСБ о том, что СКЗИ обрабатываются с нарушением и нет возможности обеспечить безопасность информации.

5. Ещё одна проблема, которая нас беспокоила – на сколько Лицензиат рискует, заключая договора на услуги ОКЗИ? Кто будет виноват если в рамках проверки ФСБ России будет обнаружено нарушение эксплуатации СКЗИ?
Вопрос в ФСБ России: В случае проведения государственного контроля организации со стороны ФСБ России и выявлении нарушений в правил эксплуатации СКЗИ, кто несет ответственность за данные нарушения: Заказчик или ОКЗИ Исполнителя?
Ответ от ФСБ: Ответственность за нарушения правил эксплуатации СКЗИ определяется, исходя из роли и полномочий Лицензиатов ФСБ России и ОКЗИ в соответствии с рассматриваемой Инструкцией, а также договором, заключенным между заинтересованными сторонами в защите информации (Лицензиат ФСБ России, ОКЗИ, Заказчик) сторонами.
В случае, если подлежащая защите информация содержит персональные данные, то ответственность за нарушения правил эксплуатации СКЗИ несет оператор персональных данных (Заказчик).
ИТОГО учитывая все предыдущие пункты: помимо Инструкции необходимо ещё ориентироваться на договор между ОКЗИ и заказчиком, в котором должна быть прописана ответственность и обязанности каждой из сторон, в том числе периодичность контроля ОКЗИ, перечень работ, которые ОКЗИ выполняет самостоятельно, перечень мероприятий, и объем информации которые предоставляем обладатель информации, регулярность с которой он информирует ОКЗИ об изменениях и т.п.


PS: Кстати, кроме Инструкции, много вопросов вызывают также и обязанность по выполнению требований формуляра и эксплуатационной документации на СКЗИ.

пятница, 9 июня 2017 г.

ПДн. Общее. Что полезного мог бы сделать Минкомсвязи (Роскомнадзор) для безопасности обработки ПДн

В Евросоюзе (с которым у нас много общего в части законодательства о персональных данных) есть такой орган European Data Protection Supervisor (EDPS). Задачи его во много схожи с задачами Минкомсвязи (Роскомнадзор) в части ПДн: контроль обработки ПДн в организациях, мониторинг того что соблюдаются права граждан и безопасность данных.
Но кроме схожих задач EDPS делает ещё некоторые полезные активности, которые хорошо было бы перенять Минкомсвязи или Роскомнадзору:
·         Организация активного сообщества лиц ответственных за организацию обработки и защиты данных (Data Protection Officers, DPO) в гос. органах. Они хорошо друг друга знают, тесно общаются, проводят встречи 2 раза в год с полезными тренингами без воды и продаж (уже 41-ая встреча по плану). Ну и граждане знают своих героев.  

·         Разрабатывают руководства, инструкции, некоторые шаблоны документов, которые необходимо применять в гос. органах, но могут применяться и в других компаниях.

Из недавнего: Руководство по обеспечению безопасности персональных данных получаемых при запросах гос. органами; Руководство по обеспечению безопасности персональных данных при их обработке на web сайтах или в мобильных приложениях; Типовое положение об ответственном за организацию обработки и защиты данных (DPO).   

Рекомендую почитать, хотя некоторые нормы законодательства у нас расходятся, поэтому полезно было бы увидеть подобные рекомендации от российских регуляторов.

·         Для Data Protection Officers есть отдельный раздел, где для них четко и понятно, с инструкциями и шаблонами, объясняется с чего им начинать и что необходимо делать.

·         Помимо основных проверок в рамках гос. контроля, EDPS проводит также дополнительный анализ и консультации (без наказаний):
-          при получении уведомления о начале обработки данных, EPDS может сразу запросить дополнительную информацию и проверить законность обработки. Операторы данных перед запуском каких-то критичных сервисов по обработке данных должны предварительно согласовать с EPDS (Opinions Prior Check, Opinions Non Prior Check)
-          организация может обратиться за консультацией к EDPS, задать вопрос, отправить на согласование политики безопасности данных (Consultations, Administrative Measures).

При этом многие ответы, которые имеют общественное значение – публикуются на сайте.

Not all of our replies to consultations are made public; those that we believe are useful for other institutions and the persons affected are published on this website.

В результате имеется хорошая база, в которой многие операторы могут найти интересующий их ответ или пример, не обращаясь за помощью к консультантам или регулятору (что в итоге повышает эффективность)

Несколько недавних примеров:
-          Office for Infrastructure and Logistics in Brussels проинформировали что обрабатывают данные в системе 360° tool - feedback and leadership competencies, указав меры и политики. EDPS дали рекомендации что ещё необходимо предпринять и просили в течении 3х месяцев сообщить о принятых мерах.
-          European Ombudsman отправил на согласование свежую политику обработки данных. EDPS рекомендовали лучше адаптировать политику к конкретным условиям обработки данных (была не учтена одна из ИС – CMS, просили более подробно описать принципы защиты и права субъектов, принципы взаимодействия с субъектом и т.п.) и предоставить свидетельства выполнения в течении 3х месяцев
-          EDPS спросили, законно ли обрабатываются данные чиновников на портале EU Whoiswho Directory (публичный телефонный справочник), какие права есть у субъектов и какие меры защиты должны быть приняты. Тут просто дали публичный ответ.

В целом, среди этой информации можно найти достаточно много полезной и для российских операторов, но лучше накапливать локальные практики и регулятору не стесняться публично доносить свою позицию по тем или иным вопросам обработки ПДн.

PS: Про другие практики из Евросоюза: NIS Directive




четверг, 8 июня 2017 г.

СКЗИ. НПА. Некоторые вопросы применения криптографии

Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).   А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.

С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных”, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.

В рамках гос. контроля именно по выполнению положений данной Инструкции находится большое количество нарушений.


По применению Инструкции есть много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт. криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.

Сразу же хочу обратить внимание на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о необходимости получения лицензии ФСБ России или заключения договора с лицензиатом:

Ст.12 99-ФЗ:  “1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
1) … выполнение работ … в области шифрования информации,             техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);”

Постановление правительства РФ №313. Приложение к положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.”

Как видно, из 99-ФЗ и ПП РФ 313, лицензия нужна для всех случаев (инсталляция, настройка, изготовление ключей), кроме текущего обслуживания уже установленных и настроенных СКЗИ для собственных нужд (про которые можно спорить отдельно). Примеры судебных дел можно посмотреть тут и тут.
Но Инструкция содержит более строгие требования.

Инструкция ФАПСИ №152:4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают ... на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.
6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”

Основной вывод следующий: организация без лицензии ФСБ не может самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого организации обязательно нужно обратится к лицензиату, заключить с ним договор на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который организует работы по обеспечению безопасности в организации-заказчике и контролирует их выполнение (а иногда и сам выполняет).

PS: По применению отдельных пунктов Инструкции у меня также было много вопросов, самые интересные я задавал регулятору и в следующей статье поделюсь наиболее интересной информацией…

Также интересно увидеть какие у Вас, коллеги, были сложности или наоборот положительный опыт применения Инструкции.


пятница, 26 мая 2017 г.

ИБ. Обучение. ИБ соревнования KubanCTF и анализ уязвимостей

Достаточно долгое время, пока CTF-ы проходили в других регионах РФ, в Краснодаре не было ни играющих команд, ни соревнований.  Ещё в апреле  ребята из КубГТУ сами первый раз поучаствовали в CTF, а уже в мае решили сами провести всероссийские соревнования KubanCTF.  

Каким-то чудесным образом ребятам за такой короткий срок удалось организовать и успешно провести CTF? Возможно сказалась поддержка мероприятия со стороны депутата Краснодарской думы Андрея Раззоренова, администрации КК, территориальных органов безопасности, местных лицензиатов ФСТЭК и ФСБ, организаторов CTF из других регионов... либо были какие то ещё факторы. Наша компания также поддерживала KubanCTF. Тут выложен отчет о мероприятии

Было интересно пообщаться с коллегами и студентами на пленарке в первый день соревнований. Помимо живого обсуждения актуальных вопросов давали 15 минут на небольшой доклад. Я решил немного порассуждать о востребованности навыка по анализу уязвимостей (который прокачивается в классическом CTF): ещё лет 10 назад, какому-нибудь региональному победителю CTF, некуда было применить свои навыки – в организациях это не было востребовано.  Но ситуация меняется (не без участия российских пентест-компаний и багоискателей), появляется спрос на анализ уязвимостей, продукты с этим связанные и даже находит отражение в свежих НПА. 

Выкладываю свою презентацию с пленарки. Возможно, кому-то будет полезной, тем более что в КубГТУ показ презентаций – это слабое место: маленький экран, не виден докладчику, да ещё дядя Ваня вместо кликера, которому нужно махать через зал.



Также задал несколько вопросов команде организаторов из КубГТУ, которые возможно будут интересны CTF комьюнити:
 0.        Когда и почему появилась команда CTF в политехе?
Команда в КубГТУ зарождалась долго, а окончательное ее формирование закончилось в начале года, сидя в маке мы придумывали название и нам хотелось представить команду с неповторимым названием, были разные идеи, но окончательный выбор пал на BlackTrack.
1.               В каких CTF раньше доводилось участвовать?
Не так давно наша команда впервые приняла участие в очном CTF соревновании, которое прошло в Волгограде, там же мы заняли призовое место, что положительно отразилось на настрое BlackTrack.
2.               Почему решили провести свой CTF?
Среди участников данного направления соревнований ходит шутка, что у каждой команды должен быть свой CTF, вот и мы решили, что пора этой шутке стать реальностью. К тому же на Кубани еще не было подобных мероприятий и нами было решено это исправить, положив начало этому движению.
3.               Сколько времени заняла подготовка этого CTF?
Подготовка в KubanCTF-2017 заняла много времени, так как мы не то чтобы не организовывали подобных мероприятий, но даже не участвовали в них. Также нам пришлось полностью разрабатывать собственный игровой движок, что отнимало не мало времени, благо нам помогала группа профессиональных разработчиков-программистов вместе с опытными дизайнерами. Много времени отнимала организационная деятельность, однако мы имели козырь в рукаве, нам помогал опытный человек уже не раз проводивший подобные мероприятия. Но самое главное в CTF это конечно же сами таски, ради которых к нам приехало много команд из разных регионов нашей страны, что является лучшим показателем уровня соревнования.
4.               Какое задание получилось самым сложным (решило меньше всего команд)?
Удивительно, но меньше всего решили задание с QR кодами, которые были разбросаны по всей площадке проведения CTF. Это задание было занесено в категорию Misc, мы рассчитывали, что игроки, которые устанут сидеть за своими компьютерами разомнутся и немного походят, поищут QR коды, в которых были спрятаны части флага, однако главной сложностью было то, что многие команды неправильно воспринимали полученную информацию и искали в ней подвох. На мой взгляд лучшим показателем тасков (задач) является не ее невыполнимость, а результат голосования о том райтапы на какие задачи игроки хотят видеть в первую очередь. 

5. Планируете ли в будущем ещё проводить CTF, с какой периодичностью?
Конечно, в будущем мы хотим продолжать проводить CTF, однако раскрывать тайну, когда будет проводится следующее соревнование мы не спешим, так как KubanCTF-2017 для нашей команды еще не окончено, перед нами стоит важная задача разобрать все трудности и недочеты, с которыми мы столкнулись, сделать соответствующие выводы необходимые для улучшения и того высокого уровня проведения мероприятия чтобы в следующий раз сделать его еще лучше. Мы уже наметили новые вектора развития этого движения на Кубани по которым уже сегодня проводим работы. Можем сказать лишь одно, что в следующий раз Вы удивитесь еще сильнее)