Вышел четвертый отчет LETA IT-company по рынку информационной безопасности в России. В отличие от предыдущих отчетов, здесь появились фамилии авторов разделов. Это, безусловно, правильно, т.к. «обезличенность» предыдущих отчетов порождала кучу слухов и снимала ответственность с авторов. Сейчас ситуация иная, по каждому разделу известен автор, которому всегда можно задать вопрос и высказать свое согласие/несогласие.
Раздел по Стандарту Банка России (СТО БР ИББС) в исследовании писал я, так что готов к диалогу.
Как и раньше, исследование нельзя назвать идеальным. В финальном варианте есть много ошибок, в том числе и фактологических. Кроме того, исследование нельзя назвать полным, т.к. в нем не хватает больших разделов по ИБ.
При этом, те разделы, которые в исследовании есть, написаны, мой взгляд, неплохо и для создания представления о рынке будут полезны.
Что касается описаний консалтинговых направлений, то выполнены они достаточно полно и точно. Сейчас действительно эпоха compliance, компании стремятся не только выстроить эффективную систему защиты, но и получить «признание» ее эффективности. Есть, конечно, убогие комплайнс -направления, вроде защиты персональных данных, которые собственно и форсировали начало эпохи. Однако вместе с ними компании стремятся соответствовать адекватным и признанным стандартам, вроде PCI DSS, ISO 27001… или СТО БР ИББС.
Если брать все compliance-направления ИБ-рынка, то именно направление СТО БР ИББС мне кажется самым перспективным. Уже к сегодняшнему моменту большое количество банков провели свое собственное исследование на предмет есть ли смысл проводить работы по приведению в соответствие требованиям СТО БР ИББС. Большинству, как и мне, выбор кажется очевидным.
Направление персональных данных получило максимальный «кусок» рынка в 2009 году, теперь же его доля, на мой взгляд, будет постепенно сокращаться. Часть возьмет СТО БР ИББС, часть Экспертные аудиты, PCI DSS и т.д. В 2009 году деньги на развитие ИБ/ИТ, выделялись только на персональные данные как объективную неизбежность. Сейчас ситуация с бюджетами лучше, и в разговорах о развитии, службы ИБ говорят не только о защите персональных данных, но и о других вещах.
Поэтому по итогам 2010 мы увидим более здравую картину без столь значительного перегиба в сторону защиты персональных данных.
В самом начале войны во Вьетнаме, американская армия несла большие потери в авиации. Чтобы изменить ситуацию, была создана специальная группа «Пурпурный Дракон» (ох и название…), их целью стало выяснение причин провала первых операций. В результате короткого исследования группа выяснила, что противник предвидел действия американской армии просто за счет понимания армейских процедур и алгоритма принятия решений, т.к. формализм в американской армии в то время процветал.
Созданная группа продолжила свою работу и в последующие 20 лет. В 1988 году президент Рейган расширил полномочия группы и создал полноценное ведомство IOSS, в задачи которого стала входить консультационная и методическая помощь сотрудников по национальной безопасности. IOSS проводило специальные тренинги среди сотрудников, оказывало помощь в разработке специальных проектов, а также проводило конференции по теме обороны, безопасности и разведки.
Эта структура продолжает работу и сегодня.
Помимо «секретных» работ, IOSS проводит еще и «открытые». Вот одна из таких работ меня и заинтересовала. Называется она Safety Checklist, или «Контрольный список по безопасности».
Поскольку бороться с любовью американских чиновников к социальным сетям невозможно, нужно хотя бы дать несколько простых рекомендации, которые позволят избежать утечки информации.
Документ содержит рекомендации для американских чиновников, которые работают с документами грифа ДСП и выше. Главный лозунг документа Think before you post! (Думай, прежде чем публиковать!). Чеклист содержит следующие вопросы:
Не храните ли вы чувствительные связанные с работой данные в своем профиле?
Не сообщаете ли вы о своих планах или будущем местоположении?
Не раскрываете ли вы имена своих коллег, сотрудников или членов семьи?
Сказали ли вы своим друзьям, чтобы они с осторожностью публиковали фотографии с вашим изображением?
Проверяете ли вы при публикации фотографий фон, на предмет информативных деталей (шкаф с документами, где видна маркировка папок, бумаги на столе, экран компьютера), нельзя ли увидеть что-то в отражающих поверхностях?
Проверяете ли вы название файлов и тэги на наличие чувствительной информации (название организации, имена и т.д.)?
И все в таком духе…
Конечно, мелочь. Конечно, этого недостаточно. Но рекомендации есть и они понятны даже ребенку.
Все забываю сделать ссылку на свою статью в журнале IT Manager (если долго скачивается можно посмотреть тут). Здесь в свободной манере мы с Александром Саниным пишем об основных изменениях, которые произошли в связи с принятием Приказа ФСТЭК №58 и отменой 2-х документов из «Четверокнижия». Статья полностью актуальна, хоть и вышла несколько недель назад. Занятно, что предположение о возможных изменениях рынка, которые мы делали несколько недель назад, на сегодняшний день полностью подтверждаются:
Проекты станут дешевле, однако их количество может увеличиться в разы, и в целом рынок защиты персональных данных должен увеличиться. К тому же, «смягчение» требований по использованию сертифицированных СЗИ позволит операторам подойти к их выбору с точки зрения повышения уровня информационной безопасности в целом, а не с позиции наличия/отсутствия сертификата. Теперь стало значительно проще выполнять требования по защите персональных данных в рамках комплексного проекта по повышению уровня информационной безопасности (будь то проекты по СТО БР ИББС, PCI DSS или построение СУИБ). Связано это с исчезновением противоречивых требований и дорогостоящих работ, которые создавали препятствия при выполнении требований других стандартов.
Очевидно, что утечка сведений о состоянии здоровья это очень серьезно. Однако реальных примеров мошенничества с использованием медицинских персональных данных немного, да и большинство из них носят бытовой оттенок. Например, соседка в сплетнях узнала группы крови членов семьи из 16-й квартиры. У мамы и папы – 1(00), а у ребенка 2(А). Понятно, что один из родителей таковым не является и…
Факты серьезного криминала из-за утечки сведений о состоянии здоровья встречаются редко. Но сегодня коллега прислал ссылку на историю, с описанной схемой мошенничества, которая, как мне кажется, сработает на многих.
Суть в следующем. Через несколько дней после сдачи анализа крови пациенту звонят и представляются сотрудником поликлиники, соединяют с участковым врачом, который сообщает пациенту, что у него лейкемия второй степени. После чего говорит, что сейчас переключит на онколога, который запишет на лечение, НО «Он будет вас посылать на Каширку. Ни в коем случае не соглашайтесь! На Каширке вас замучают химиотерапией и доведут до четвертой степени. Просите направить вас в ЦКБ! Только в ЦКБ! Там новейшая аппаратура. Там вас поставят на ноги». После этих слов пациента соединяют с онкологом, который естественно предлагает приехать на Каширку. Пациент начинает умолять отправить его в ЦКБ. И тут выясняется, что место в ЦКБ обойдется дорого. Человек соглашается на любые деньги, после чего «добрый» онколог радостно сообщает, что «в ЦКБ есть одно место. Правда, на него претендовали еще два человека, но одна пациентка сегодня скончалась, а вторая может немножко подождать, у нее не такой тяжелый случай». Стоит лечение в ЦКБ 400 тыс.руб. и деньги нужно передать социальному работнику срочно, а именно через час. Дальше дело понятное. У выхода из метро социальный работник дает несколько бумаг на подпись, забирает деньги и исчезает.
P.S. Что интересно, используется стандартный прием «передача клиента». Обратите внимание, разговор ведется в несколько этапов и каждый этап с новым человеком. Этот прием очень часто используется в продажах. Например, если сталкивались с оформлением бесплатных кредиток в магазинах или на улице. Они действуют именно так. Один с вами заводит разговор, и тут же «передает» вас другому человеку, который начинает свою беседу со слов:«Какую кредитную карту вы хотели?» Человек теряется и начинает выбирать, хотя никакую кредитку он еще 5 секунд назад не хотел.
Конференция получилась очень интересной, но рассказать даже вкратце о всех выступлениях не получится как бы этого не хотелось. Поэтому расскажу о первых докладах, в которых, по сути, были озвучены основные вехи. Итак, первым докладчиком был Андрей Викторович Емелин Председатель АРБ по правовым вопросам. Рассказал о текущей ситуации в правовой части задачи защиты персональных данных. В целом ничего нового, однако, такие разъяснения на открытую публику выносились впервые, поэтому доклад получился очень интересным, как и вопросы после доклада. Что ж, законопроект Резника внесен в Госдуму и почти точно пройдет первое чтение, с условием внесения поправок ко второму чтению. В данной ситуации сказать плохо это или хорошо, довольно сложно. Дело в том, что лично я не понимаю «massage» этого законопроекта. Факт его принятия в сегодняшнем виде не устранит существующие значимые противоречия, и вполне может быть породит новые. Поэтому к своему сожалению, я совсем не фанат этого документа, хотя некоторым коллегам он нравится больше законопроекта АРБ.
Учет интересов заинтересованных сторон из рабочей группы Минсвязи возможен ко второму чтению, но некоторые коллеги высказали сомнение о возможности учета интересов банков в рамках подготовки законопроекта ко второму чтению. Поэтому, сказать о том, каким будет законопроект в финальной редакции, даже примерно, пока нельзя. А жаль! Без четкого понимания, к какому закону мы идем, очень сложно рассуждать о том, какими должны быть подзаконные акты и уж тем более отраслевые стандарты. Тем не менее, АРБ по этому направлению продолжает работать, а уж что получится в результате, поживем-увидим.
Андрей Петрович Курило подчеркнул приоритетность задачи защиты персональных данных для всех кредитных организаций. Рассказал о том, что произошло за прошедший год и что нас ждет в ближайшем будущем. Доклад очень емкий, в сухом остатке получаем:
Разработана система документов в рамках СТО БР ИББС включающие в себя требование по защите персональных данных. Скачать их можно отсюда. Данные документы пока не получили финального согласования с регуляторами. При этом их можно использовать, т.к. по разным оценкам документы уже согласованы на 95-98%. Система документов будет окончательно согласована до середины мая.
По факту окончания согласования начнется процедура создания саморегулируемой организации, о которой я уже писал.
В пакете документов есть рекомендации по стандартизации, в который включены требования по безопасности персональных данных. Данный документ согласуется с приказом ФСТЭК №58 и со стандартом ISO по защите персональных данных, который разрабатывался на основе 27002-2005.
Все стандарты в РФ носят рекомендательный характер, также как и СТО БР ИББС. Поэтому, для того чтобы не отвечать за исполнение требований закона о персональных данных перед регуляторами в одиночку и по непонятным правилам, кредитным организациям предлагается внутренними приказами ввести ВСЮ систему документов СТО БР ИББС обязательной к исполнению. И в этом случае такие организации начинают руководствоваться своим отраслевым стандартом, который хорошо адаптирован под них.
Вот так.
В очередной раз представителей ФСТЭК не было. Это уже превратилось в привычное явление, хотя, на мой взгляд, такими действиями руководство ФСТЭК оскорбляет своих коллег. Почти все участники конференция в кулуарах высказывали свое недовольство позицией и действиями ФСТЭК. В отличие от Роскомнадзора и ФСБ, работать с ними очень тяжело. Поэтому основной риск применения норм закона о персональных данных исходит именно от этого регулятора.
Александр Павлович Баранов сделал интересный доклад, мне запомнилась его позиция по вопросу контроля операторов персональных данных. Проверять банки как таковые очень затратно по ресурсам и не очень эффективно, поэтому предлагается проверять саморегулируемую организацию, а проверку операторов проводить только по факту наличия жалоб. Естественно на вопрос о возможности использовать несертифицированные средства ответ был простой – сертификат обязателен.
По-хорошему улыбнула ремарка Грициенко Андрея Александровича насчет вчерашнего репортажа на Первом канале.
Ну вырвали они комментарий из контекста, так это ж не со зла :
Для нас это режет слух, а для целевой аудитории Первого канала все было нормально.
В самом начале войны во Вьетнаме, американская армия несла большие потери в авиации. Чтобы изменить ситуацию, была создана специальная группа «Пурпурный Дракон» (ох и название…), их целью стало выяснение причин провала первых операций. В результате короткого исследования группа выяснила, что противник предвидел действия американской армии просто за счет понимания армейских процедур и алгоритма принятия решений, т.к. формализм в американской армии в то время процветал.
:
Последние комментарии