июня 09

Коллеги свершилось! Очень долго участники рынка ждали новой версии Стандарта Банка России с составляющей по защите персональных данных. И вот теперь «Комплекс БР ИББС» окончательно согласован с ФСТЭК, ФСБ и Роскомнадзором.

Первоначально согласование планировалось до банковской конференции 15 апреля, но по ряду причин работа затянулась. И вот сегодня, вышел пресс-релиз Ассоциации российских банков, поставивший точку в этом вопросе.

На самом деле, это очень знаковое событие. Теперь банковское сообщество получило качественные и адаптированные методические рекомендации по защите персональных данных. Требования по защите персональных данных в рамках СТО БР ИББС стали более понятными и простыми, по сравнению с общими требованиями ФСТЭК и ФСБ.

Теперь у кредитно-финансовых учреждений есть выбор:

1) Принять для себя СТО БР ИББС обязательным в полном объеме и приступить к обеспечению информационной безопасности в нормальном режиме с поддержкой основного регулятора (ЦБ).

2) Не принимать для себя СТО БР ИББС обязательным в полном объеме и биться с ФСТЭК, ФСБ и Роскомнадзором на общих основаниях и в рамках существующих документов регуляторов.

На мой взгляд выбор очевиден, нужно проводить работу по приведению в соответствие стандарту, это выгодно как с точки зрения тактики, так и с точки зрения стратегии.

Post to Twitter

8269 . 2592

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , , , , ,

июня 02

Неделю назад открылась регистрация на Сочинскую конференцию «Обеспечение информационной безопасности. Региональные аспекты – 2010».

По всей видимости, тема персональных данных будет вновь на первом месте. Большие надежды возлагаю на доклады операторов персональных данных, которые проводили работы самостоятельно. Пока неизвестно кто будет читать доклады, а главное какие, тем не менее, есть шанс услышать что-то неизбитое. Если организационные решения уже давно ясны и новшеств здесь немного, то техническую защиту на просторах нашей родины обеспечивают по-разному, иногда, особенно в крупных компаниях с распределенной структурой, находят очень гибкие и элегантные решения, которые могут удовлетворить и регуляторов и бизнес. К сожалению, о таких интересных проектах удается узнать только неофициально. До сегодняшнего дня операторы очень неохотно делились личным опытом проведенных работ по защите персональных данных на открытых мероприятих. Причины понятны, кто-то не уверен за адекватность результата, кто-то решил «не афишировать» проект и т.п. Может в этот раз что-то изменится? Все-таки почти 2 года обсуждаем…

Post to Twitter

5426 . 2028

Другие записи

Автор: Царев Евгений | Метки: , , , , ,

Апр 14

Царев Евгений на ТВПроснулся в 4 утра от звонившего телефона. На той стороне университетский друг, который живет в Томске:

- Привет! Завтракаю и смотрю тебя по телевизору…)))

- Сколько?

- Что сколько?

- Времени сейчас сколько?

- Уже 7 утра.

- А в Москве?

- …. Ой! А ты спишь?..

- )))

Пришлось просыпаться, т.к. следом позвонил еще один зритель Первого канала.

Недавно помогал коллегам с Первого канала в съемке репортажа по теме защиты персональных данных. Так вот сегодня этот репортаж вышел.

Помимо самого интервью, мы съездили на Савеловский рынок и со скрытой камерой пообщались с продавцами баз данных. Найти их оказалось совсем не трудно. Прямо при входе на рынок висит табличка «БАЗЫ ДАННЫХ», тут же стенд с дисками. Чего там только нет… базы ФНС, ФССП, ГИБДД, Пенсионный фонд, МТС, Билайн и т.п. Видимо «до кучи» продается база vkontakte.ru . Продавцы оказались настолько милы, что показали заинтересовавшие базы в работе. «Наколки» не нашел, все что запускали – работает. На прилавке есть как старые базы, вроде базы ГИБДД до 2008 года, так и совсем свежие. Для некоторых есть обновления вплоть до марта месяца текущего года. Цены порядка 1500 рублей за диск. Дешевле купить оптом, а еще лучше принести свой винчестер для записи на месте. В этом случае за терабайт всех баз данных, которые у них есть, с меня попросили 25 000 руб. Думаю, что если поторговаться, то можно легко скинуть до 10 000-15 000 руб. Как показал этот случай, именно столько сейчас стоит исчерпывающая информация о гражданах РФ.

Post to Twitter

21654 . 7278

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , , , , , , , , , , , , , , , , , ,

марта 22

Сегодня затрону самую важную, на мой взгляд, тему последних недель в части персональных данных. Что изменилось для операторов после последних активностей ФСТЭК?

А изменилось очень многое. И, на мой взгляд, в лучшую сторону.

Пойдем по порядку. После отмены двух документов ушел вопрос:

Аттестации. И это хорошо, уж слишком безосновательным было проведение аттестации для защиты персональных данных. По крайней мере, в существующем виде.

Лицензирования. Лицензия ФСТЭК на техническую защиту конфиденциальной информации совершенно однозначно не нужна организациям, которые проводят работы по технической защите персональных данных внутри своей собственной компании.

Сертификация. А вот тут все значительно интереснее. Споры на счет использования сертифицированных средств идут до хрипоты в голосе. Теперь контроль отсутствия неделарированных возможностей остался только для систем К1, коих в реальных проектах не так много. Контроль отсутствия НДВ в более низких классах точно не нужен. А вот теперь появляется по меньшей мере 3 мнения:

  • 1) Для защиты персональных данных необходимо использовать только сертифицированные средства защиты. Сейчас требования смягчили, но могут скоро вернуть, поэтому нужно подстраховаться и применять только сертифицированные СЗИ.
  • 2) Для построения системы защиты персональных данных, можно использовать технические средства прошедшие сертификацию ФСТЭК по техническим условиям (ТУ).
  • 3) Для защиты персональных данных можно использовать любые средства защиты.

Все три мнения реально присутствуют на рынке.

Если первое мнение звучит неубедительно, то второе более чем. Дело в том, что в знаменитом Постановлении правительства №781 в пункте 5 написано:

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»

Единственной реальной процедурой оценки соответствия является сертификация. Поэтому мы можем выбрать самую простую систему сертификации и сертифицировать свое средство защиты. Проще всего сертифицировать на ТУ. По-русски говоря, проверить, что антивирус – ищет вирусы, а средство шифрования – шифрует. И все. Есть сертификат, значит, формальное требование мы выполняем. Хорошее решение? Безусловно!

Однако есть еще одно мнение, к сторонникам которого отношусь я: Для защиты персональных данных можно использовать ЛЮБЫЕ технические средства защиты! Для того, чтобы обосновать данную точку зрения необходимо вернуться к тому же 5 пункту 781-го постановления:

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»

Выделил два понятия: Установленный порядок и Процедура оценки соответствия. Кто-нибудь видел этот установленный порядок? Или знает, о какой процедуре оценки соответствия идет речь? Я нет. С юридической точки зрения мне непонятно о чем говорится в этом пункте. Если установленного порядка не существует в принципе, то о чем говорить?

Поэтому до момента появления Установленного порядка и Процедуры оценки соответствия, если таковые вообще появятся, можно использовать любые технические средства, если они нужны. Если оператор будет использовать, тем не менее, сертифицированные средства защиты, то, как выразился один мой коллега: «… получит +1 к карме», не более того. А вот за счет выстраивания адекватной системы защиты исходя из актуальных угроз, он получит не просто «+1 к карме», но и «кучу экспириенса и лэвел ап».

В заключении.

Появление ясности в таких вещах как аттестация, лицензирование и сертификация является не только важной победой операторов, но и победой здравого смысла. Теперь проекты по защите персональных данных гораздо лучше согласуются с другими активностями по обеспечению информационной безопасности. Если раньше компания тратила деньги на защиту персональных данных, то ценность такого проекта для бизнеса была очень небольшой, т.к. никаких задач бизнеса этот проект не решал, то теперь проект защиты персональных данных можно красиво объединить почти с любым ИБ-проектом

Если у вас есть комментарии или вопросы, пишите их здесь, мне очень интересны ваши мысли…

Post to Twitter

23254 . 7069

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , , , , , , , , , , , , ,

марта 17

Вчера был совершенно замечательный день. Настолько замечательный, что я его даже не заметил ;-) .

Вчера исполнился 1 год моей фактически журналистской деятельности. 16 марта 2009 года был опубликован первый пост в блоге “Персональные данные по-русски”. Кстати, название было придумано за пару секунд, т.к. в livejournal есть обязательное поле “Название журнала”, которое при регистрации нужно было заполнить, вот я и написал первое что пришло в голову. Ради истории опубликую как есть первый пост, благо он был коротким:

Ждем новую четверку документов ФСТЭК к 1 июня

Вопреки всем, кто ожидал выход новой редакции в конце первого или начале второго квартала, новая редакция документов ожидается к лету. Документы станут открытыми, так что готовимся.

Tags: РД, ФСТЭК

Вот так просто и незатейливо все началось. Кстати, ФСТЭК потом тянул со второй редакцией значительно дольше “неофициальнообещанного”.

Кстати, перечитал несколько первых постов, и очень хочется надеяться, что те смутные времена остались позади.

Post to Twitter

10323 . 3516

Другие записи

Автор: Царев Евгений | Метки: , ,