Системы и их информационная безопасность

Сертифицированные средства ЗИ

2011-11-22T12:55:00.001+04:00

Приказ Минкомсвязи РФ от 02.09.2011 N 221 "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения" (Зарегистрировано в Минюсте РФ 15.11.2011 N 22304).

21. Для защиты служебной информации ограниченного распространения должны использоваться сертифицированные в соответствии с требованиями безопасности информации технические и (или) программные средства защиты информации.

Критерии выбора антивируса

2011-10-24T12:46:00.000+04:00

Что является основным критерием при выборе антивируса. Количество обнаруживаемых вирусов в тестовой выборке? Вряд ли, тем более что как отмечают сами разработчики такой тест практически ни о чем не говорит.

Практика показала, что критерии выбора антивируса совершенно иные.

Во-первых наличие на антивирус сертификата по требованиям безопасности информации. Фактически сертификат подтверждает, что средство является антивирусом и именно здесь может учитываться процент обнаружения вирусов. Но, что немаловажно, помимо сертификата, разрешающего использовать антивирус в определенных системах, есть еще и Технические условия (ТУ) на него, ограничивающие или определяющие особенности использования.

Во-вторых антивирус должен стабильно работать и не "загружать" систему (процессор, дисковый ввод-вывод, канал связи). Конечному пользователю мало интересно как работает эвристика и какие объемы обновлений вирусных баз приходят, ему необходимо работать, выполнять целевую задачу. Лет 10 назад в институте проверяли на вирусы компьютеры кафедры, при этом один компьютер при запуске антивирусного сканера "подвисал" так, что спасало только полное отключение питания. Все остальные задачи на том компьютере работали корректно, следовательно ... "антивирус не работает, не надо его больше использовать".

В-третьих должна быть возможность обновления вирусных баз без прямого подключения к Интернету. Немаловажный момент, ведь до сих пор есть системы без прямого подключения к интернету, соответственно все обновления вирусных баз должны сначала скачиваться на промежуточный носитель, а затем просто и корректно загружаться в антивирус. К сожалению эта задача не всегда реализуема. Один из антивирусов в подобной ситуации требовал развернуть в сети, подключенной к интернет, дополнительный антивирусный сервер, скачать на этот сервер репозитарий, затем остановить (!) антивирусный сервер в защищаемой сети и перенести на него репозитарий. Сложность, повышенная вероятность ошибки, временные отключения антивирусной защиты - антивирус был использован только в одном проекте. Другой антивирус требовал постоянного подключения к сети интернет, без этого обновить его было невозможно. Как результат в проектах он не использовался.

Четвертый критерий - наличие возможности централизованного управления. На сегодняшний день есть практически у всех, но несколько лет назад более-менее приемлимо было реализовано только в одном российском антивирусе.

Все остальное - дополнительные функции, удобный интерфейс и др., полезные но все-же дополнения к выше перечисленному.

О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации

2011-10-10T15:29:00.003+04:00

На прошлой неделе (6 октября) ФСТЭК России опубликовал Проект постановления Правительства Российской Федерации "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации".

В новом Постановлении довольно таки много доработок и корректировок по сравнению с действующей редакцией (от 31 августа 2006 г. № 532). Наиболее заметные из них:

- добавлены требования по наличию у организации соискателя лицензии системы менеджмента качества по ГОСТ ИСО 9000 на лицензируемую деятельность;

- добавлены требования к квалификации руководителя и (или) лицо, уполномоченное руководить работами по лицензируемому виду деятельности (высшее профессиональное образование по направлению «Информационная безопасность» или переподготовка не менее 500 аудиторных часов, плюс не менее 5 лет стажа в области проводимых работ по лицензируемому виду деятельности);

- добавлены требования к квалификации инженерно-технических работников (высшее профессиональное образование по направлению «Информационная безопасность» или переподготовка не менее 100 аудиторных часов, требований по стажу нет);

- удалено положение о сроке действия лицензии.

Индустрия безопасности и вредоносное ПО

2011-10-10T10:47:00.001+04:00

Существование бизнеса на вредоносных программах, как доказательство недееспособности индустрии безопасности?

Существование бизнеса на вредоносных программах, зависит вовсе не от индустрии безопасности. Основная проблема, которая к сожалению будет еще долго нас преследовать — недостаточная осведомленность и квалификация пользователей. Это относится как к домашним системам, так и к государственным и частным.

Пользователь не знает (а зачастую и не хочет знать) о информационной безопасности. Он удалит или отключит антивирус (и прочие средства защиты), он всеми силами будет стараться обойти межсетевой экран, получить пароль администратора (или предоставить своей учетной записи права администратора), установить свое ПО и т.п. В первую очередь он будет стремиться создать для себя свободную от ограничений рабочую среду.

Можно долго спорить об эффективности антивирусов и авторах вирусов, но следует не забывать, что система защиты — это комплекс мер и средств. Не устраивают средства защиты — можно и без них, только обеспечьте автономность компьютера (никакого Интернета, ЛВС, внешних носителей и недоверенных пользователей). Не уверены на 100% в эффективности одного средства защиты — дополните его. Простой пример — согласно аналитическому отчету компании BeyondTrust подавляющее большинство уязвимостей в продуктах Microsoft закрывается ограничением прав доступа пользователей — лишением их привилегий администратора. У вашего пользователя есть права администратора? нужны ли они ему?

Нужен ли антивирус на домашнем/рабочем компьютере? Скорее всего нужен. Даже если он будет эффективен на 99,3% — он защитит вас от 99 из 100, отфильтрует зараженные почтовые вложения, не пустит на зараженный сайт, постарается помешать вам запустить файл, зараженный вирусом. При этом, как признают сами разработчики антивирусных средств, их продукт может отлично отработать, но желание пользователя запустить именно этот файл (например, взломанный exe, который после взлома почему-то стал требовать права администратора) или зайти именно на этот сайт (и неважно что google и антивирус настойчиво советуют этого не делать) сводят на нет всю защиту.

PS. Пишут ли производители антивирусов вирусы. В исследовательских целях — возможно (было когда-то неофициальное соревнование на написание самого маленького вируса). В промышленных целях — скорее всего нет. Лет 10 назад задавали этот вопрос Игорю Данилову (DrWeb). Заодно спрашивали что-то про разработку вирусов, не отслеживаемых антивирусом. Ответ был примерно следующий — «Да зачем это нужно. Разработка антивируса достаточно трудоемкая, времени на вирусы просто нет». Это было сказано 10 лет назад, когда количество вирусов было куда меньше сегодняшнего.

Криптография в облаках. Часть 2

2011-10-03T18:42:00.001+04:00

Несколько интересных статей в продолжение вопроса криптографии в облаках

Шифрование в облаках (Часть 1, Часть 2) - Обзор проблемы и возможные уровни применения криптографии при использовании облака.

Data encryption and the Cloud - "For really high levels of security, it makes sense to use a hybrid solution – perhaps not to store the data in the cloud but bring cloud infrastructure online to process it". Интересный подход - использовать для хранения данных собственные системы, а ресурсы облака только для аналитической обработки (обезличенных данных).

CipherCloud Uses Encryption, Tokenization To Bolster Cloud Security - Один из возможных вариантов, выполнять криптографические операции на клиентском компьютере, до попадания в облако. Главный минус - никакой аналитической обработки данных в облаке вы не реализуете. Облако здесь всего лишь хранилище данных.

Encryption in the Clouds - Возможные уровни применения криптографии в облаке.

The need for data encryption in the cloud - Еще раз о криптографии на клиентском компьютере, до попадания в облако.

InfoSecurity Russia 2011

2011-09-30T16:21:00.001+04:00

InfoSecurity Russia в этом году (в отличие от прошлого) оказалась довольно таки интересной. Большее количество докладов, 5 конференц-залов, сцена, открытая площадка для докладов и множество стендов - посмотреть было что.

Достаточно активно на конференции обсуждались вопросы облачных технологий: на стендах были представлены решения по защите виртуальной инфраструктуры, были как выступления на сцене, так и отдельный трек Public Cloud Conference.
Количество стендов по сравнению с прошлым годом похоже уменьшилось, но это вряд ли отразилось на количестве посетителей.

Довольно-таки интересные решения представили компании:

IRADD - средства автоматизации процессов и рутинных операций управления безопасностью процессов обработки ПДн.
ОКБ САПР - Аккорд-В для защиты виртуальной инфраструктуры.
Perimetrix - средство классификации информационных ресурсов, контроля их использования и перемещения.
FalconGaze - DLP-решение SecureTower. Решение крайне интересное как в плане своей функциональности (сбор информации, передаваемой пользователем, анализ, отображение в виде последовательности действий в течение дня), так и по архитектуре решения (можно разместить шлюз в точке подключения к внешней сети, дополнительно можно разместить агенты на АРМ пользователей, есть возможность разместить агент на ноутбуке, при этом информация в агенте на ноутбуке может накапливаться и передаваться на анализ при подключении ноутбука к сети компании). Также хотелось бы отметить качественно сделанную презентацию данного средства.
Тайгер Оптикс - высокоскоростные сетевые шифраторы (Ethernet 10Gb, Fibre Channel 4 Gb), но к сожалению шифрование только по AES-256 и RSA-2048.

Запомнившееся их обсуждений на стендах:

не всегда решения "cloud security" являются таковыми. Зачастую это давно существующие средства, которые также можно применить и в облаке. В этом отношении был весьма интересен доклад представителей компании Veeam Software - свои решения для резервного копирования виртуальных машин они разрабатывали именно для виртуальных машин и с учетом их специфики.
для использования средства vGate R2 (при обработке конфиденциальной информации) не обязательно наличие электронного замка Соболь на физических серверах, где запущены виртуальные машины. Более того vGate R2 никак с Соболем не взаимодействует. При этом правда не ясно - зачем тогда нужен Соболь, как им управлять и снимать логи.

Наконец-таки удалось посетить семинар RISSPA - в целом оказалось довольно-таки интересно. Запомнились познавательный и в меру технический доклад по уязвимостям SAP, научный подход в докладе по обеспечению безопасности расширений в корпоративных информационных системах. Отдельное спасибо Евгению Климову - наводящие вопросы стимулировали участников к обсуждению докладов. Единственный минус - не понятно зачем нужна была предварительная регистрация, планирование помещения?

Были и некоторые неудобства: Зал №5 удалось найти только со второй попытки, в Зале 1 было довольно-таки прохладно.
Несмотря на них можно сказать, что конференция в этот раз удалась.

PS. Самое яркое впечатление - рекламщики с портретом Маркса на груди, раздающие приглашения на INFOBEZ-EXPO перед входом в Сокольники.

Куда приводит hyperlink

2011-09-28T17:28:00.000+04:00

Привычное поведение (а точнее его ожидание) зачастую приводит к неожиданным результатам. Казалось бы - есть гиперссылка, но отображает она не адрес куда ведет, а некое описание этого адреса. И вроде бы все правильно - незачем пугать пользователя 80-символьной строкой. Особо интересующиеся могут придержать мышь над ссылкой - в всплывающем окне и строке статуса отобразится адрес перехода.

Вот только ссылка может привести вовсе не к ожидаемому адресу. Все дело в том, что тег "a", отвечающий за гиперссылку, помимо привычного атрибута "href" с адресом целевой страницы может содержать и другие атрибуты. Например, атрибут "title", который "Specifies extra information about an element".

К чему это приводит:
- пользователь видит на странице гиперссылку, читает ее описание, собирается выполнить переход,
- наводит курсор мыши на гиперссылку - во всплывающем окне (скорее всего по центру экрана) видит адрес перехода, вряд ли он обратит внимание на строку статуса (нижняя часть экрана) где также отображается адрес перехода
- клик мышью, переход, но вовсе не на ту страницу, которую ожидал увидеть пользователь.

Почему? Во всплывающем окне пользователю отображается вовсе не адрес перехода (заданное атрибутом "href"), а значение атрибута "title", которое может и не совпадать со значением атрибута "href".

Ожидаемое поведение, переход и ... кто знает на какой сайт вы действительно попадете.

PS. Замечено в реальных условиях. Проверялось в Google Chrome и Internet Explorer 9. Ни браузеры, ни антивирус предупреждений не выдают. Опасность невысокая, но вполне может быть использовано для обмана пользователя.

Криптография в облаках

2011-09-27T12:17:00.000+04:00

Модный и актуальный сегодня тренд виртуализации и облачных вычислений заставляет снова вернуться к вроде бы уже решенным вопросам построения систем ЗИ и применяемых в них средств ЗИ. Одним из проблемных вопросов стало применение средств криптографической защиты, причем не только в отечественных, но и в зарубежных системах.

Довольно таки интересное обсуждение данного вопроса идет в группе CSA в LinkedIn:
"The major difference in crypto in cloud is Key Management"
"Important to note that in public cloud, there are no good ways to store private keys on tamper evident hardware devices"
"No encryption can guarantee the confidentiality if you don't safeguard the key"

Вкратце - не важно где в облаке вы применяете криптографию. Важно то, что ваша ключевая информация может стать доступной не только вам.

Отсутствие монопольного доступа к оборудованию, на котором развернуто облако, создает угрозы компрометации ключей, использование технологий виртуализации повышают возможности по реализации данных угроз. Помимо этого могут возникнуть сложности с обновлением ключей.

Пути решения проблемы пока что видятся следующие:

- отказ от использования программно реализованных криптопровайдеров;

- отказ от хранения ключей в реестре ОС, в контейнере на жестком диске, на стандартных сменных носителях (USB-flash);

- использование специализированных устройств для хранения ключей и выполнения операций по шифрованию/расшифрованию;

- невозможность извлечения/получения доступа к специализированному устройству (или существенное затруднение, например, только в случае отключения устройства);

- обеспечение возможности удаленной смены ключей (в случае если действующие ключи не скомпрометированы).

Эта схема вполне применима в VPN-шлюзах и устройствах шифрования дисков, но что делать если если необходимо обеспечить криптозащиту контейнера с файлами в виртуальной машине мигрирующей по нескольким серверам? VMware vSphere позволяет "пробрасывать" USB-устройства виртуальной машине, мигрировавшей на другой сервер, но как быть если наше специализированной устройство подключено через другой интерфейс? И можно ли считать доверенными механизмы виртуализации реализующих такой "проброс"? Вполне возможно изменение данных, отправленных на шифрование, или создание копии данных после расшифрования.

Поправки к 152-ФЗ. Второе чтение

2011-07-01T11:13:00.001+04:00

Сегодня ожидаем рассмотрения поправок Резника к 152-ФЗ во втором чтении. Пока что не ясно состоится ли оно, будет ли перенесено (в особенности после изменений законопроекта), а если состоится - то в каком все-таки виде будет принято.
В текущей редакции фактически закрепляется существующий порядок проведения работ:

Статья 19. п.2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
Разработка Модели угроз безопасности ПДн.

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
Создание системы ЗИ. Объем требований к системе ЗИ определяется по результатам классификации. Полностью закрывается дорога "оптимизаторам" по "снижению" требований.

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
Фактически - сертификация всех используемых средств ЗИ. Если не сертифицировано - не является средством ЗИ.

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
Фактически - оценка соответствия / аттестация, выполняемая при создании системы ЗИ.

5) учетом машинных носителей персональных данных;
Здесь не совсем ясно - учет всех носителей (в том числе, установленных в АРМ/серверы) или только съемных. Форма учета - не определена, соответственно здесь может быть как учет в журналах, так и учет с использованием средств ЗИ (в том числе средств контроля доступа к портам ввода/вывода).

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
Обнаружение вторжений, анализ защищенности, аудит. Что очень важно - не просто настройка параметров регистрации, но и анализ журналов, а также принятие мер по результатам анализа. Соответственно нужен квалифицированный/обученный сотрудник.

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
Резервное копирование и восстановление данных (а не только ведение двух копий средств ЗИ). Средство резервного копирования в таком случае также становится средством ЗИ со всеми последствиями.

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
Разграничение доступа, регистрация и учет. Причем "учета всех действий, совершаемых с ПДн" приводит к необходимости регистрации и учета (аудита) на уровне специального (прикладного) ПО, которое также становится средством ЗИ.

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Периодический контроль (он же инспекционный контроль).

Образование в области ИБ

2011-05-30T15:28:00.003+04:00

Немного размышлений на тему "Образование в области ИБ" как результат прочтения поста "Capture the Сredit: захват зачета"
Идея с изменением системы принятия зачетов у студентов (организация некоего CTF) интересная, но вряд ли реализуемая (не забываем, что у студентов старших курсов есть и своя сессия).
По собственному опыту более перспективен другой подход:

1. Цель преподавания - не принять зачет/экзамен, а дать базовые навыки и заинтересовать, показать куда и как можно развиваться. Т.е. необходимо сосредотачиваться не на зачетах/экзаменах, а на самом процессе обучения.
2. Состав преподавателей. Некий базовый перечень предметов ведут преподаватели с кафедры, что-то ведут аспиранты, но большую часть профильного (практику) дают привлеченные специалисты (в том числе выпускники кафедры).
3. Дополнительное обучение (в развитие указанного в п.1 "куда и как развиваться"). В том числе лабораторные и практические работы, возможно работа на кафедре (в области ЗИ это возможно организовать), возможно вендорное обучение (по крайней мере рассказать какое есть, организовать возможность получения базовых знаний, навыков и сертификатов). Дать всем студентам максимум знаний по всем направлениям ЗИ нереально, в итоге все равно каждый выбирает свою специализацию.
4. Работа совместно с учебой. Курса с 3-4 студент должен работать. Применять полученные теоретические знания, совершенствовать практические навыки. Иначе после 5-6 курса получим того самого выпускника, на которого так любят ругаться в блогах.
Примерно так (только п.3 был не в полном объеме) было организовано обучение у нас (МИФИ, факультет Информационной безопасности).

РусКрипто 2011

2011-04-04T11:18:00.003+04:00

На прошлой неделя прошла конференция РусКрипто 2011. Хотелось бы сказать "успешно", но...

В этом году были интересные выступления, была возможность общения с представителями различных организаций, но чего-то не хватало, чего-то что заставляет сказать "я обязательно приеду сюда в следующем году".

К сожалению в этом году не было круглого стола с обсуждением результатов прошедшего года и перспектив текущего, а несколько докладов были отменены (в том числе по актуальной на сегодняшний день теме "Криптография при оказании гос услуг в электронном виде"). Изменился состав модераторов секций, в конференции не принимала участие компания Positive Technologies (что, судя по отзывам, сильно сказалось на студентческом CTF), не было представителей антивирусных компаний, чье участие в прошлом году обеспечило довольно-таки интересные секции.

Чего явно не хватало на конференции - докладов с обсуждением путей решения актуальных организационных проблем применения СКЗИ.

Из интересного и полезного можно отметить Круглый стол "Российский рынок СКЗИ" и Секцию "Криптография при оказании государственных услуг в электронном виде. Универсальная электронная карта".

Более подробно о запомнившихся докладах чуть позже.

PS. Не посещал секции по криптографии ("Криптография и криптоанализ: теория и практика", "Преподавание криптографических дисциплин в высшей школе", "Академические исследования в сфере информационной безопасности"), возможно они были более интересными и полезными.

Сертификат ФСТЭК на Oracle Database EE 10g с Oracle Database Vault

2011-02-14T14:49:00.001+03:00

Получен сертификат ФСТЭК на Oracle Database EE 10g с Oracle Database Vault (ссылка) (сам сертификат)

"... Обратите внимание, для получения сертифицированных дистрибутивов достаточно быть легальным пользователем соответствующего ПО Oracle (т.е. ни вендор, ни партнер не взимают за них дополнительную плату). ..."

Срок действия сертификата

2010-12-21T10:27:00.000+03:00

Недавний пост Лукацкого А., а точнее следующий момент из него "Предлагается сертификаты сделать бессрочными, а для сертификатов на серийное производство установят срок действия три года" напомнил интересные ОРД, найденные на просторах Интернета.

В данных ОРД были определены следующие обязанности Администратора безопасности информации
"Заблокировать учетные записи пользователей на ПЭВМ в случае окончания срока действия сертификата соответствия ФСТЭК России, ФСБ России на любое СЗИ, из используемых на Объекте, до момента его продления. В случае не продления сертификата соответствия ФСТЭК России на СЗИ он обязан поставить в известность орган по аттестации, проводивший аттестацию Объекта, для принятия совместного решения."
Ситуация несколько абсурдная - еще вчера в системе можно было работать, сегодня же только из-за того что закончился срок действия сертификата на одно из средств ЗИ всю работу надо прекращать и либо продлевать сертификат либо переделывать систему ЗИ. Возобновление работы - только после решения данного вопроса.
PS. Кстати, интересно - выполняется ли данное требование в системе для которой разработаны эти ОРД.

Надежность IPSec

2010-12-15T12:04:00.000+03:00

В последнее время все чаще высказываются сомнения в необходимости оценки соответствия средств ЗИ, а также призывы к использованию зарубежных продуктов. Тому есть ряд объективных причин, связанных порядком обновления, качеством продуктов и их функциональными возможностями и др. Но есть и определенные риски, один из которых в очередной раз похоже получил подтверждение.

Здесь размещено письмо, с утверждениями о наличии (по крайней мере на этапе разработки) backdoor'ов в реализации стека протоколов IPSec ОС OpenBSD - "FBI implemented a number of backdoors and side channel key leaking mechanisms into the OCF [OpenBSD Crypto Framework
], for the express purpose of monitoring the site to site VPN encryption system implemented by EOUSA, the parent organization to the FBI". В связи с тем, что данная реализация могла быть использована для создания и других продуктов, картина вырисовывается неприятная - нет гарантии того, что ваше оборудование действительно защищает передаваемые данные. И если раньше данные могли быть перехвачены только одной организацией, то теперь (после соответствующего анализа исходных текстов) их количество может увеличиться.

PS. Подтверждения письма пока что нет, анализ исходных кодов еще не проводился.

InfoSecurity 2010

2010-12-10T12:35:00.000+03:00

Немного запоздавшие впечатления от InfoSecurity 2010.
К сожалению посетить выставку удалось только в третий день - "День персональных данных. День SMB", судя по отзывам первый день был гораздо более насыщенным и интересным. Мои же впечатления от третьего дня - не очень.

Посетителей было не так уж много, часть стендов были уже пустыми, да и количество стендов не впечатляло. Организаторы не спрогнозировали заинтересованность посетителей по вопросам персональных данных, в результате Зал "Регулирование" был переполнен, соседние залы оставались полупустыми. Программа выступлений менялась по ходу выставки, доклады переносились, добавлялись новые.
Что (на мой взгляд) спасало выставку - удачные стенды некоторых компаний, проводивших презентации даже для 2-3 человек (а не просто раздававших буклеты, календари и рекламу). В этом отношении хотелось бы отметить стенды компаний Stonesoft, Aladdin, Эшелон.

С точки зрения формата проведения выставки - вряд ли могу назвать его удачным. Он может быть полезен для первоначального ознакомления с вопросами ЗИ, он удачен за счет присутствия на выставке значительного количества организаций, предлагающих свою продукцию и услуги. Но он дает лишь общий обзор. Если вам необходима более детальная информация - обратите внимание на технические семинары компаний, а также специализированные конференции. Для примера - технический семинар компании Анкад, где вы в течение дня (а не 15-20 минут) получите обзор продукции, сможете пообщаться с техническими специалистами и т.п. или, например, РусКрипто, где восприятие докладов было гораздо лучше.

Сертифицирован Acronis Backup & Recovery 10

2010-12-09T16:52:00.000+03:00

Программный комплекс Acronis Backup & Recovery 10 (Server for Windows, Advanced Server, Advanced Workstation) сертифицирован ФСТЭК по требованиям безопасности информации на соответствие ТУ, 4 уровень НДВ и может использоваться в системах 1Г РД АС и ИСПДн до К1 включительно.
Сертификаты 2219, 2220, 2221 от 26.11.2010.

PS. На сегодняшний день это единственное сертифицированное средство резервного копирования.

Желаемое за действительное

2010-11-16T11:54:00.001+03:00

Из рекламных материалов одной известной Российской компании
"В системах K1 все оцениваемые угрозы являются актуальными по причине высокого уровня показателя опасности угрозы в силу определения самого класса системы персональных данных класса K1. Это делает показатель возможности реализации угрозы в К1 нерелевантным при определении актуальности угрозы. Все угрозы системы К1 всегда будут актуальными вне зависимости от возможности их реализации."

Сразу отмечу - подтверждения этого утверждения в действующих нормативных документах нет. Но этими утверждениями обосновывается необходимость применения определенного ограниченного набора средств защиты информации (естественно, выпускаемых именно этой компанией). При этом желательно не забывать, что такое утверждение может дать как положительный эффект (обосновать необходимость применения тех или средств или орг мер), так и отрицательный. В частности, получаем что для систем К1 необходимо обеспечивать защиту от всех возможных угроз (в том числе акустика, техканалы и т.п.). В общем защищать систему как не всякую систему высоких грифов.

ФЗ 152. Обоснование очередного переноса сроков

2010-11-10T16:45:00.000+03:00

Изменение ФЗ-152 (статья 19, 25) в 2009 году - http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=284213-5&02
Планируемое изменение ФЗ -152 (статья 25) в 2010 году - http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=444277-5&02

Из года в год одно и тоже. Судя по всему взяли законопроект 2009 года, немного подправили и внесли в ГосДуму. Особый интерес вызывает Пояснительная записка к проекту федерального закона. Тот же текст, что и в 2009 году, те же самые обоснования. Было "которые не планировались и сложно осуществимы в условиях кризиса", стало "что неосуществимо в условиях кризиса" (а кстати, кризис то у нас еще идет или уже официально завершился?). Добавилось лишь "Кроме того, сами расходы для приведения информационных систем в соответствие с требованиями закона не предусмотрены Федеральным законом «О федеральном бюджете на 2010 год и на плановый период 2011 и 2012 годов»".

Необходимость лицензии на ТЗКИ

2010-07-05T15:13:00.000+04:00

Здесь официальный ответ ФСТЭК о необходимости получения лицензии на деятельность по технической защите конфиденциальной информации учреждениям здравоохранения, социальной сферы, труда и занятости в случае, когда технические мероприятия по защите персональных данных осуществляются для собственных нужд.

Ответ очень интересный, со ссылками на конкретные пункты Гражданского кодекса и 128-ФЗ. Не просто слова о том, что "да, должны получить лицензию", а обоснование что без этой лицензии и деятельность по защите информации то нельзя осуществлять.

PS. Вот так скоро дойдем до того, что на вопрос "обеспечиваете ли вы защиту персональных данных", услышим ответ "нет, не имеем на это права, т.к. у нас нет лицензии на ТЗКИ". Основание для очередных отсрочек?

Комплекс БР ИББС

2010-07-01T19:04:00.000+04:00

Ассоциация российских банков опубликовала письмо об отраслевых документах по приведению деятельности организаций БС РФ в соответствие с требованиями законодательства в области персональных данных.Письмо подписано председателями Банка России, АРБ, АРБР а также представителями Роскомнадзора, ФСБ России, ФСТЭК России.

Несмотря на радостные возгласы "Согласно Письму, если в кредитных организациях вводится приватный Комплекс БР ИББС, они, собственно говоря, не должны руководствоваться нормативно-правовыми актами и ФСБ России, и ФСТЭК России, а также Роскомнадзора." хотелось бы обратить внимание на два момента:
1. в письме нет положений об отмене необходимости руководствоваться "нормативно-правовыми актами и ФСБ России, и ФСТЭК России, а также Роскомнадзора".
2. в пункте 5 страница 2 данного письма: "с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России(в пределах их полномочий)".

В результате, с формальной точки зрения, новые отраслевые стандарты пока что только дополняют существующие нормативные правовые документы и должны применяться совместно с ними.

Использование СТР-К

2010-07-01T17:20:00.000+04:00

Здесь обсуждался довольно-таки интересный вопрос - необходимость применения СТР-К в информационных системах персональных данных. Вопрос актуальный - в случае применимости СТР-К получаем ряд систем, для которых аттестация все-таки обязательна.

Пока что есть следующая цепочка:
1. в соответствии с Указом Президента РФ от 06 марта 1997 г. № 188 в состав перечня сведений конфиденциального характера входят персональные данные.

2. как правильно отмечено по ссылке выше, Приказ ФСТЭК № 58 определяет методы и способы защиты, а не требования.

3. требования и рекомендации по технической защите конфиденциальной информации (соответственно и персональных данных) определяет СТР-К.
В результате противоречий и дублирования нет, СТР-К действительно применим к ряду информационных систем персональных данных (каких именно - в нем определено).

Для получения подтверждения или опровержения данной логической цепочки представитель МИАЦ отправила письмо во ФСТЭК, долго ждала ответ, но к сожалению получила в нем совсем не то, что ожидала - "По моему запросу ФСТЭК ответили,что не совсем верно сформулирован вопрос. Пришлют ответ,в котором будет написано что необходимо задать вопрос по другому, что бы ответить правильно". Так что вопрос пока что окончательно не закрыт.

Достаточно ли ...

2010-06-29T19:17:00.000+04:00

Уже не знаю какой по счету раз вижу на форумах обсуждения на тему "Достаточно ли мне ..." (дальше что-то одно на выбор - пароль, антивирус, Rutoken и т.п.). Ни раздражения, ни желания как-то прокомментировать такие темы уже не вызывают. Непонятно одно - какими критериями руководствуются начальники при назначении ответственных по ЗИ с такой квалификацией?

Из "свеженького":
Достаточно ли Rurokenов...
"Достаточно ли будет использовать только сертифицированные рутокены для защиты ИПСДН ?"
ответ - "к Рутокену возьмите Crypton Lock от АНКАДА и все..."
Кстати, адекватных ответов в этой теме так и не появилось.

Здесь еще интереснее. По утверждению представителя Управление Роскомнадзора по Приморскому краю "Для защиты персональных данных достаточно пароля на компьютере".

Или например "разграничение доступа в система реализуется фильтрацией сетевого трафика".

Примеров можно найти еще много, важно другое. В погоне за минимизацией стоимости работ создание систем ЗИ поручают неквалифицированным сотрудникам или (что еще хуже) свежесозданным организациям, не имеющим реального опыта работ. В результате плодятся решения-поделки, рассыпающиеся как карточный домик при первой же серьезной проверке. После которой надо будет опять выделять средства и заново проводить работы.

Из ожидаемого ...

2010-06-10T19:26:00.000+04:00

05.05.2010 ГосДумой были рассмотрены поправки в ФЗ-152 "О персональных данных" , в течение 30 дней должны были появиться поправки к поправкам. Прошло уже 35 дней, пока что тишина. Ждем.

Также ждем несколько Постановлений Правительства:
№ 683, определяющее проведение соответствия средств защиты информации для ИСПДн (расширяет 5 пункт 781ПП).
№ 333, определяющее порядок лицензирования защиты информации, расширяющее закон «О техническом регулировании» ст. 18.
и № 330, проскочившее в комментарии toparenko здесь (судя по всему также относящееся к вопросам защиты персональных данных).

Что хранится в Интернете

2010-06-04T17:10:00.001+04:00

Вчера посетил в АИС Круглый стол "Методы защиты конфиденциальной информации от действий инсайдеров, рейдерства и мошенничества". Впечатления - сугубо положительные, обсуждались интересные вопросы, проводились демонстрации на реальных данных, были полезные идеи и рекомендации по защите.
Одни из основных идей:
1. Разделение представительского/рекламного Web-сайта от рабочих систем. В этом отношении очень показателен пример одной очень крупной российской ИТ компании, на сайте которой в открытом доступе лежат скрипты обновления базы Заказчика с логинами и паролями.
2. Ограничение доступа к корпоративным Web-сайтам. Опять же "живые" примеры - возможность получения конфиденциальных документов крупных зарубежных компаний.
3. Контроль материалов (документов), переданных партнерам. У вас может быть отлично защищенная система, вот только ваш партнер (неизвестно зачем) хранит вашу строго конфиденциальную стратегию развития на своем сайте. Или, например, аудиторы выложат на сайте отчет о проверке вашего объекта.
4. Контроль разработки/доработки систем. Как вы отнесетесь к наличию на вашем сайте каталогов разработчика, для которых не настроено разграничение доступа.

В целом выводы неутешительные. Слишком уж удобно хранить информацию на сайте с возможностью оперативного удаленного доступа. Вот только не всегда эта информация действительно защищена, отсутствие явной ссылки на документ не гарантирует, что этот документ доступен только вам - поисковые системы (Google, Yandex, ...) найдут и предоставят доступ и к таким документам.

PS. Расстроило только одно - анкета участника мероприятия с предложением о бессрочном согласии на обработку ПДн.

Нужна система ...

2010-05-14T16:03:00.000+04:00

Мне нужна система. Нет, немного не так. Мне было бы проще, если бы существовала система "одного окна" регистрации новорожденных. Вот только ее нет и вряд ли появится.
Чуть больше года года назад я был осчасливлен рождением двух хулиганов. В тот момент я еще не знал, как нелегко окажется их зарегистрироавть и собрать все необходимые документы.

Началось все с роддома, где мне выдали написанные от руки справки о рождении детей. В одной из справок оказалась ошибка - хорошо врачи сами заметили и сразу исправили. Затем с этими справками необходимо было пойти в ЗАГС и получить свидетельства о рождении. В ЗАГС я выбрался только через две недели после рождения детей - просто не было времени. Адрес ЗАГСа, а также перечень необходимых документов узнавал сам, через интернет (есть все шансы приехать в ЗАГС с неполным комплектом документов, а затем ехать по второму разу). После ЗАГСа оформлял выплаты по рождению детей на работе (на зарплатную карту), затем еще одни выплаты уже на социальную карту Москвича оформляла жена (оказалось большой проблемой, т.к. оставить дома двоих детей, которые постоянно хотят есть очень непросто). Потом мы оформляли прописку на детей, временные полисы ОМС, постоянные полисы ОМС, делали регстрацию в очередь в детский сад, отпуск по уходу за ребенком (а здесь выплаты на отдельный счет, который может быть только в Сбербанке). И это еще не все.
Большинство действий пришлось выполнять в разных организациях, адреса которых неизвестны, комплекты необходимых документов также неизвестны, поход в каждую требует времени.
Как-то пришла мысль - хорошо бы все эти действия свести к одному, сделать что-то вроде "одного окна" регистрации ребенка. Например, пришел в ЗАГС, сообщил необходимые сведения, через какое-то время получил все документы и выплаты (на один счет, а не на 2-3 различных). Вроде бы идея отличная - родители тратят меньше времени на беготню по инстанциям, сбор справок и прочих бумажек, государство получает еще один "красный флаг" реализованной социальной программы, кто-то из интеграторов получит очень неплохой заказ.
Вот только вряд ли такая система будет создана. Во-первых есть организационные сложности с ее созданием и работой, главная из которых - кто будет отвечать за систему, кто (и главное как) сможет организовать взаимодействие различных учреждений (ЗАГС, СоцЗащита, Милиция, пенсионный фонд). А во-вторых очевидно что стоимость такой системы будет мягко говоря немаленькой (особенно с учетом необходимости обеспечения безопасности ПДн).
Так что пока будем искать адреса гос учреждений, собирать безумные справки и стоять в очередях для получения одного маааленького штампика.
PS. Возможно в нелегком деле регистрации новорожденных нам поможет портал гос услуг, но и он не решит всех возникающих проблем.

Очередные изменения в ФЗ-152 "О персональных данных"

2010-05-05T15:53:00.000+04:00

Сегодня ГосДумой в первом чтении был рассмотрен законопроект № 282499-5 О внесении изменений в Федеральный закон "О персональных данных" (поправки Резника). Принято решение "принять законопроект в первом чтении; представить поправки к законопроекту в тридцатидневный срок со дня принятия постановления".
http://www.duma.gov.ru/faces/lawsearch/gointra.jsp?c=282499-5

Изменения достаточно масштабные и интересные, к тому же не лишены "скрытых" особенностей. Очень интересна новая трактовка "конфиденциальности ПДн" - "условие обработки персональных данных, не допускающее их распространения". Вроде бы все в порядке, вот только "распространение ПДн" в соответствии с новыми поправками это "действия, направленные на ознакомление с персональными данными неограниченного круга лиц ...".
Если посмотреть действующую редакцию ФЗ-152, то "конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания".
Кроме того есть еще и ФЗ-149 "Об информации, информационных технологиях и о защите информации", согласно которому "конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя".
В результате новых изменений может сложиться следующая ситуация:
1. обеспечение конфиденциальности ПДн не обязательно
2. конфиденциальность ПДн сведена до защиты от публикации ПДн в общедоступных источниках
3. конфиденциальность ПДн не требуется обеспечивать при обработке ПДн в пределах организации, а также при передаче в третьи организации и обработки ПДн в них
4. из определения "изчезает" ответственный за обработку ПДн
Прочие положения изменений также содержат свои особенности, но какие из них пройдут дальнейшие чтения и какой конечный вид примут - покажет время. Пока что следует дождаться поправок к изменениям по результатам первого чтения законопроекта.

PS. Статья 2 Законопроекта № 282499-5 "Настоящий Федеральный закон вступает в силу с 1 июня 2010 года." С учетом того, что сегодня уже 5 мая, к указанному сроку законопроект вряд ли будет принят.

Вирус? или системный процесс

2010-04-23T15:50:00.000+04:00

И снова про вирусы и антивирусы. Две недели назад на РусКрипто на секции «Технологии защиты от вредоносных программ» обсуждал с представителем McAfee технологию защиты обновления вирусных баз. Как тогда выяснилось, пользователи защищены от подмены обновлений в процессе передачи (в том числе с использованием криптографических методов), но сами производители антивирусов больше опасаются другой угрозы - ошибки антивируса при которой штатная, корректно функционирующая программа опознается как вирус.
С удивлением сегодня в новостях вижу "Антивирусы американской McAfee(!) привели к серьезному сбою – после выпуска очередного обновления множество компьютеров по всему миру, на которых были установлены продукты этой компании, стали циклично перезагружаться или сообщать о фатальной ошибке, пишет CNet. Обновление начало загружаться в 17 часов по московскому времени в среду, 21 апреля. Дистрибуция была прервана спустя 4 часа. Однако за это время его успели загрузить десятки тысяч компьютеров, включая компьютеры в больницах и учебных заведениях. В результате обновления антивирусы McAfee стали распознавать системный процесс операционной системы Svchost.exe (Generic Host Process for Win32 Services) как компьютерный червь W32/Wecorl.a."
Почему такое могло произойти - наверняка будет выяснено, но вряд ли выйдет за пределы компании-разработчика. Вариантов несколько - ошибка в алгоритмах анализа вирусов, ошибка эксперта, проводившего анализ, ошибка при формировании вирусной базы. Не ясно проводилось ли тестирование обновления вирусных баз. С одной стороны - должно производиться, а с другой - невозможно протестировать ПО на всех возможных вариантах (антивирус вполне мог среагировать и не на системный процесс ОС).

Нужен ли антивирус на Маке?

2010-04-21T19:07:00.000+04:00

Сегодня попался на глаза интересный пост в блоге Gunter Ollmann о полезности и бесполезности защиты, а если точнее - о том, нужен ли антивирус в современной системе.

Аргументы против.
1. Антивирус задействует некий объем системных ресурсов, которые гораздо лучше бы использовать для решения целевых задач.
2. Часть функций антивируса уже реализована в штатных средствах ОС (например, блокировка всплывающих окон).
3. На Маках вирусов нет и антивирус не нужен.

Контраргументы.
1. Да, антивирус задействует часть ресурсов, но лучше пускай он их задействует сейчас, чем потом пользователь не сможет воспользоваться никакими ресурсами системы. Если же вы смотрите фильм, или выполняете задачи, требующие максимума ресурсов - завершите работу ненужных в данный момент программ, приостановите скачивание файлов, переведите антивирус в специальный режим работы (в Касперском, например, он называется "Игровой профиль"), но не забудьте выключить этот режим как только критичная к ресурсам задача выполнена.
2. Да, часть функций антивируса уже реализована в системе, только наличие этих функций не означает эффективность их работы. Из личного опыта - победить всплывающие окна (а заодно и заблокировать баннеры) мне помогла установка антивируса (до этого использовал и МЭ и локальный прокси, но по простоте эксплуатации и эффективности работы больше понравился именно антивирус).
3. На Маках вирусы все же есть. Как пример - компания Integro, специализирующаяся на разработке средств защиты (в том числе антивирусов) опубликовала сообщение о новом варианте вируса HellRTS для Маков. HellRTS разработанный работает как на PowerPC- так и на Intel-Based Маках. После установки он поднимает собственный сервис, конфигурирует порт и пароль доступа, прописывает свою копию с модифицированным именем в автозагрузке, рассылает почтовые сообщения с использованием собственного почтового сервера, взаимодействует с удаленными серверами и предоставляет прямой доступ к зараженному компьютеру (просмотр экрана, выключение и перезагрузка, доступ к буферу обмена и т.п.). HellRTS может попасть в систему через уязвимость в программах доступа в Интернет (например через уязвимость Web браузера). Перечень возможностей вируса достаточно серьезный, но важен не он. Важен сам факт, что вирусы под Мак все-таки есть и в перспективе возможно увеличение их количества.

PS. На РусКрипто мне подарили годовую лицензию на ESET's Nod32 Antivirus. Как назло, за неделю до этого купил (тоже годовую) лицензию на Kaspersky Internet Security 2010.

РусКрипто 2010

2010-04-20T19:46:00.001+04:00

Как утекают данные

2010-04-19T11:51:00.001+04:00

В развитие темы http://www.tsarev.biz/?p=1412
На самом деле не обязательно ездить по рынкам, в интернете достаточно сайтов предлагающих те же базы в актуальном состоянии. Где-то за неделю до этого поста мне прислали ссылку на один из таких сайтов. Последнее обновление на нем сейчас датировано 16.04.2010 и предлагает "Паспортную базу данных Москвы ИСС" объемом порядка 50 Гб, причем судя по представленному описанию базы сливали ее вместе с документацией.

Так кто и как может получить базу данных, содержащую мои и Ваши персональные данные:
1. Разработчик.
Знает если не все, то очень много о базе, в том числе ее структуру и формат хранения данных. Возможно имеет доступ к прикладному ПО (в том числе к исходным текстам). В процессе разработки может получать "тестовые данные" (а на самом деле фрагмент или даже всю боевую базу). Может получить "старую" базу для тестирования функций переноса данных в "новую". Уже на этапе внедрения и эксплуатации может получить доступ к базе для исправления ошибок, добавления дополнительных функций и сделать копию базы.
Почему так происходит? Подготовить тестовые данные для большой и сложной системы чрезвычайно сложная задача, данные могут быть неполными, объем таких данных может быть недостаточен для тестирования производительности. Проверить систему только на тестовых данных практически невозможно.
Как происходит? Данные копируются вручную на внешний носитель. Как вариант в прикладном ПО делается закладка, копирующая данные в промежуточное хранилище (например на другой компьютер в сети).
Как защититься? Контроль подключаемых устройств, контроль действий разработчиков (особенно в случае работы на "боевой" системе). Обезличивание тестовых данных или использование специальных генераторов тестовых данных.
2. Эксплуатирующий персонал (операторы, администраторы).
Знают о системе меньше, чем разработчики, но работают с "боевой" системой и текущими верисиями прикладного ПО. Операторы чаще всего имеют доступ только к отдельным выборкам данных, причем выборки эти заранее заданы (в прикладном ПО). Администратор имеет доступ к сервисам системы, файлам БД и прикладного ПО, резервным копиям, возможно имеет доступ к дистрибутивам системы. И операторы и администраторы могут иметь доступ к документации на систему (в полном объеме или в объеме, необходимом для выполнения своих обязанностей).
Как происходит? Оператор может сгенерировать некий объем таких выборок данных и передать их заинтересованным лицам. Администратор может скопировать файлы БД и прикладного ПО, а также необходимые настройки системы. Кроме того администратор может скопировать или изъять резервную копию (например, подменив диск с резервной копией).
Как защититься? Контроль подключаемых устройств, разграничение доступа, контроль за резервными копиями.
3. Внешние пользователи
Не менее опасны, чем разработчики и эксплуатирующий персонал. Пример тому - утечка более 7,4 миллиона документов (120 Гб) из системы электронного декларирования Службы государственных доходов (СГД) Латвии. Имеют доступ к внешним интерфейсам системы, практически не имеют доступа к документации на систему, штатного доступа к файлам системы нет.
Как происходит? Действия, аналогичные действиям операторов, эксплуатирующих систему. Генерируется большой объем выборок данных, каждая выборка сохраняется отдельно. Может быть выполнен второй этап - обработку полученных данных, их загрузка в БД (аналогичную или полностью идентичную той из которой данные выгружены).
Как защититься? Тестирование прикладного ПО и внешних интерфейсов системы. Включение в состав системы только необходимого минимума функций. Контроль действий (активности) внешних пользователей, контроль передаваемых вовне данных (в первую очередь объемов передаваемых данных).

Меньше права - лучше защита

2010-04-12T15:15:00.000+04:00

Компания BeyondTrust опубликовала отчет о результатах анализа уязвимостей в продуктах компании Microsoft за 2009 год. Эксперты компании пришли к выводу, что значительная часть указанных уязвимостей закрывается ограничением прав доступа пользователей - лишением их привилегий администратора.

Проведенный анализ показал, что лишив обычных пользователей прав администратора, можно было бы избежать:

90% критических уязвимостей ОС Windows 7, известных на момент составления отчета
100% уязвимосей Microsoft Office, сведения о которых были опубликованы в 2009 году
94% уязвимостей Internet Explorer and 100% уязвимостей Internet Explorer 8, сведения о которых были опубликованы в 2009 году
64% уязвимостей во всех продуктах компании Microsoft, сведения о которых были опубликованы в 2009 год

ПДн и договор на открытие вклада

2010-04-09T15:03:00.000+04:00

Вчера открыл счет в одном крупном российском банке. Зачем - отдельная история (социальные выплаты оказывается можно получить на счет только вот в этом конкретном банке и только на мой личный счет и никак иначе).

При открытии счета Банк подписывает со мной Договор, небольшой такой, уместился на двух сторонах листа А4. Начинаем читать Договор:

п.1.2 К вкладу применяются Условия размещения вкладов (далее- Условия), действующие на дату открытия вклада. Вкладчик ознакомлен и согласен с Условиями.
Очень интересно. Никаких Условия при открытии вклада мне не предъявляли и не предложили ознакомиться (и похоже это не ошибка операциониста, знаю что в другом филиале того же банка Условия также не предъявляют). Соответственно бумажной копии Условий с моей подписью ни у меня, ни у Банка нет (сразу возникает вопрос - а действительны ли в таком случае Условия). Кто их составлял и утверждал неизвестно.

читаю Договор дальше

п.2.16. Даю свое согласие Банку на обработку своих персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персонаьлных данных". Перечень персональных данных, цель их обработки, срок, в течение которого действует данное соглашение, изложены в Условиях размещения вкладов.
И снова те же саме Условия. Больше в договоре ничего про обработку ПДн нет. Становится еще интереснее, в результате Условия я все же нахожу на web-сайте одного из региональных подразделений Банка и вижу в нем следующее:

2.18. ВКЛАДЧИК соглашается с тем, что БАНК имеет право на хранение и обработку, в том числе автоматизированную, любой информации, относящейся к персональным данным ВКЛАДЧИКА (Ф.И.О., год, месяц и дата рождения, адреса: места жительства, места регистрации, места работы, сведения о банковских счетах, и любая иная, ранее предоставленная БАНКУ, информация, в том числе, содержащая банковскую тайну), в том числе, указанной в Договоре и/или в иных документах, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», включая сбор, систематизацию, накопление, хранение, уточнение, использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, предоставленных БАНКУ в связи с заключением Договора в целях исполнения договорных обязательств, а также разработки БАНКОМ новых продуктов и услуг и информирования ВКЛАДЧИКА об этих продуктах и услугах.
БАНК имеет право проверить достоверность представленных ВКЛАДЧИКОМ персональных данных, в том числе, с использованием услуг других операторов, а также использовать информацию о неисполнении и/или ненадлежащем исполнении договорных обязательств при рассмотрении вопросов о предоставлении других услуг и заключении новых договоров.

Согласие ВКЛАДЧИКА на обработку персональных данных действует в течение всего срока действия Договора, а также в течение 5 лет с даты прекращения действия Договора. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.

Первым делом настораживает фраза "любой информации, относящейся к персональным данным ВКЛАДЧИКА", но следующее за ней пояснение вроде как уточняет что все-таки не любая, а "предоставленная БАНКУ, информация".
Следующий абзац не менее интересен "БАНК имеет право проверить достоверность ... в том числе, с использованием услуг других операторов". Одной простой фразой я соглашаюсь на передачу моих ПДн третьим лицам, перечень которых не определен, да и что будет происходить с моими ПДн у указанных третьих лиц не ясно.
Ну и на последок срок действия моего согласия на обработку ПДн. Как минимум 5 лет (если я сразу после заключения Договора его расторгну и отзову соглашение на обработку ПДн). Максимум - без ограничения срока. Порядка отзыва моего согласия на обработку ПДн нет.

Вывод. Печально. К сожалению не заключить этот Договор не было возможности (как уже отметил, требовалось открыть счет именно в этом Банке). Даже в случае проверки Банка и корректировки Договора и Условий, для меня будет действовать уже подписанный и неизвестно какая редакция Условий. Внимательно читайте документы.

РусКрипто 2010

2010-04-07T16:49:00.001+04:00

На прошлой неделе принял участие в конференции РусКрипто 2010 (http://www.ruscrypto.ru/conference/), прошедшей с 01 по 04 апреля на территории пансионата «Солнечная поляна» (Московская область).

В целом впечатления от конференции очень хорошие:

- обсуждаются актуальные проблемы и перспективы развития ЗИ;

- интересные доклады - участвуют представители многих организаций, в том чисте разработчики средств ЗИ;

- и что особенно важно - несмотря на свое название, конференция ориентирована не только на вопросы криптографии.

Одновременно плюсом и минусом конференции является ее насыщенность - на второй день доклады воспринимались уже несколько тяжелее, но все равно привлекали достаточно внимания.

Несколько слов про место проведения конференции. Тихий, довольно таки приятный пансионат, недалеко от Москвы, чистые номера, нормальное питание. Из минусов. Как отметили организаторы конференции, дешевле было бы провести конференцию, например, в Анталии. Были проблемы с розетками для подзарядки ноутбука (в самом номере одна свободная розетка, не очень удобно размещенные розетки в бизнес-центре), WiFi был только в бизнес-центре, да и подключиться к нему не всегда удавалось.

Ряд секций на конференции шли параллельно, так что посетить все не было никакой возможности. Что удалось посетить:

- Круглый стол «Состояние российского рынка информационной безопасности»
- Секция «Использование криптографических средств в системах электронного документооборота и для защиты персональных данных»
- Секция «Расследование инцидентов. Механизмы, технологии, проблемы, опыт»
- Секция «Правда и вымысел о технологиях информационной безопасности»
- Секция «Интернет и информационная безопасность»
- Круглый стол «Технологии защиты от вредоносных программ»
- Секция «Защита информации в распределенных компьютерных системах»

Круглый стол «Состояние российского рынка информационной безопасности»

Вводная секция, обсуждение результатов 2009 года и перспектив 2010 года. Превосходное модерирование секции, очень интересные выступления, удачная последовательность выступлений. Особо следует отметить выступление представителя ФСБ РФ Кузьмина А.С. и озвученное им перспективное направление развития - создание систем электронного документооборота.

Секция «Использование криптографических средств в системах электронного документооборота и для защиты персональных данных»

В основном секция была посвящена вопросам внедрения и использования криптографических средств различных производителей. Что особенно важно, доклады были подкреплены практическим опытом внедрения.

На секции обсуждался доволоно таки актуальный вопрос - при массовом внедрении СКЗИ, их разработчики начинают нести значительные расходы на техподдержку, в результате чего на первый план выходят вопросы удобства использования СКЗИ. В идеале для конечного пользователя работа с СКЗИ может быть организована следующим образом: пользователь подключает к компьютеру USB-токен после чего СКЗИ, размещенное на токене, запускается и используется прикладным ПО без участия пользователя.

Секция «Расследование инцидентов. Механизмы, технологии, проблемы, опыт»

Секция была посвящена исключительно вопросам расследования инцидентов. Несмотря на то, что область применения рассмотренных средств и методов ограничена, секция оказалась очень интересной.

Неприятно поразил доклад «Извлечение информационных улик из мобильных телефонов, смартфонов и КПК» - мало кто задумывается какой объем информации можно извлечь из современного мобильного телефона (вплоть до определения, когда и где был человек, что делал). Вывод для себя - не используемые функции телефона лучше выключать, ничего лишнего в нем не хранить.

Очень интересный доклад «Исследование вредоносных программ с точки зрения расследования инцидентов» (http://amatrosov.blogspot.com/2010/04/2010.html). Демонстрация реального вредоносного ПО, особенностей его работы и возможностей по идентификации источника атаки («Управление К, обратите внимание» ;) ).

Также заинтересовал доклад «Алгоритмические и инженерные аспекты анализа защищенных данных» - рассматривался практический опыт восстановления и выявления паролей, ключей шифрования (с трудом верится, что из оперативно памяти работающего компьютера можно извлечь ключи шифрования, но оказывается и такое возможно).

Секция «Правда и вымысел о технологиях информационной безопасности»

Очень необычная секция. Откровенно провокационный доклад «Чем закончится DLP hype?» вызвал активную дискуссию, но так и не продемонстрировал, почему же DLP по мнению докладчика имеет мало шансов выхода на плато продуктивности.

Последовавший за ним также провокационный доклад «Заказной тест на проникновение - механизм обеспечения ИБ?» ярко высветил ряд вопросов, основным из которых был «что же является целью теста на проникновение - обеспечение ИБ или конкурентная борьба?». Ответ судя по всему весьма оригинальный - «все зависит от требований Договора на проведение работ». Мне же был интересен следующий момент - имеет ли смысл тест на проникновение в условиях постоянного выявления новых уязвимостей, сегодня тест не обнаружил возможностей проникновения, а завтра он уже обновленный позволил несанкционированно попасть в систему. Как выяснилось данный вопрос закрывается наличием в системе порядка обновлений используемого ПО.

Завершал секцию уже менее провокационный доклад «Заблуждения банковской безопасности» (http://lukatsky.blogspot.com/2010/04/blog-post_06.html). Что особо заинтересовало в этом докладе:

- схема взлома систем Интернет-банкинга, когда вирус перехватывает на АРМ пользователя платежку перед формированием ЭЦП и заменяет в ней сумму/номер счета, пользователь не обращает на это внимания, в результате деньги уходят злоумышленнику;

- заблуждение «Одноразовые коды предотвращают несанкционированное списание средств со счета». Был рассмотрен вариант получения одноразовых кодов по SMS, но не ясно как обстоят дела с картами одноразовых кодов (например, используемых в системе Телефанк ВТБ24).

Небольшую неясность в доклад вносит некоторая несогласованность - на третьем слайде идет один перечень «заблуждений», но дальше используются отличающиеся формулировки и в другой последовательности.

Доклад «Мифы виртуализации» к сожалению был отменен, но презентация доступна по адресу http://www.slideshare.net/Maria_Sidorova/virtualization-myths-the-most-popular-delusions-and-stereotypes-about-informational-security-of-virtualization-infrastructure

Секция «Интернет и информационная безопасность»

Первая секция второго дня конференции.

Из всей секции запомнились два доклада: «Web Application Security Consortium. Перспективы развития» (http://sgordey.blogspot.com/2010/04/2010.html) и «Обнаружение уязвимостей в механизме авторизации веб-приложений».

Круглый стол «Технологии защиты от вредоносных программ»

Еще одна секция, рассматривающая вопросы защиты от вредоносного ПО. В основе секции - доклад представителя компании TrendMicro. Судя по развернувшейся дискуссии одна из основных проблем антивирусной защиты - обработка постоянно увеличивающегося количества вирусов и распространение обновлений вирусных баз. Как было отмечено - в перспекиве возможна ситуация, когда распространение обновлений вирусных баз будет аналогично DDoS атаке.

Из интересных моментов - как выяснилось, анивирусы используют (имеют в своем составе) криптографические функции. В частности они могут проверять ЭЦП файлов ПО (например, ЭЦП Adobe Acrobat), а также проверять подпись обновлений вирусных баз.

Секция «Защита информации в распределенных компьютерных системах»

Очень неоднозначная секция. Доклады имели ярко выраженную научную направленность, но были мало подкреплены практическим опытом. Наиболее интересным, на мой взгляд, был доклад «Агентно-ориентированное моделирование бот-сетей».

Еще раз отмечу, что конференция в целом очень понраивлась. Парадокс - на конференции, посвященной в первую очередь криптографии, наиболее заинтересовали вопросы антивирусной защиты.