пятница, 29 июля 2011 г.

Compliance ума не прибавляет!

По поводу социальной сети «ВКонтакте» в июле появилось 2 новости:
Первая новость весьма похвальна. Закон о Национальной платежной системе только что принят, вот и первое заявление во имя его исполнения. То есть не будет еще одних «ХренMoney».
По второй новости есть сомнения...
Процесс подтверждения действия банковской карты это сбор как персональных, так и карточных данных: ФИО, телефон, e-mail, паспорт, номер карты, CVC2-код, срок действия, тип, банк-эмитент.
Казалось бы, полученный сертификат PCI DSS должен вызывать доверие, как минимум, к уровню зрелости компании в части ИБ. То есть должны быть грамотные специалисты и так далее. Что же мы видим при ближайшем рассмотрении?
Если вы забыли пароль и хотите восстановить свой account вы должны подтвердить свои учетные данные. Ввести не просто учетные данные – подавай им самые настоящие персональные данные. Конечно же, без подписания согласия на обработку. Смотрите, screenshot того, что и как они просят:
 
А вот чуть ниже, что тоже неплохо:
А вот что будет, если изображения им не понравятся:
 
Так что, только благодаря этому казусу,  пользоваться их связкой с Русским Стандартом, который является экваером и работает за 1.9% от суммы транзакций, я бы поостерегся.



вторник, 26 июля 2011 г.

Продолжение бесконечного ожидания

Наконец- то Президент подписал Изменения в 152-ФЗ, что же изменится теперь?
Моё наблюдение тематики по защите персональных данных начинается с момента выхода в свет самого Закона. Можно составить вот такую последовательность минувших дней: 
  • Публикация Закона 152-ФЗ 29.07.2006
  • Вступление в действие Закона 152-ФЗ 26.01.2007
  • Публикация 781-ПП об автоматизированной обработке 17.11.2007
  • Выход Приказа «трех» о классификации 13.02.2008
  • Публикация 687-ПП об неавтоматизированной обработке 24.06.2008
  • Откладывание Закона на год 27.12.2009
  • Выход положение ФСТЭК о методах защиты 05.03.2010
  • Откладывание Закона еще на полгода 23.12.2010
  • Принятие существенных поправок в Закон 26.07.2011

Итак, все нормы написаны, поправки Гарантом приняты, осталось дело за малым выполнить Закон. Информационный фон в обществе, создаваемый «колокольнями» в лице производителей СЗИ и интеграторов в последние 2 недели стал явно нездоровым, активно подогревался СМИ по поводу утечек ПДн из разных компаний.

Если по существу, то меня беспокоят следующие мысли:
  • Закон приговорен к невыполнению с момента своего появления
  • с 2006 года прошло уйма времени, чтобы выполнить ВСЕ требования
  • де-факто нет никакой ответственности и прецедентов за его невыполнение
  • Российское законодательство в данной области крайне неустойчиво

 Ну и как говорится: 
  • требования Закона не соответствуют духу Евроконвенции
  • требования закона вызывают существенные обременения у операторов ПДн

воскресенье, 17 июля 2011 г.

Новый вид рекламы?

Решил нажать баннер Позитива, чтобы посмотреть чего это он стал таким красным?

Это картинка:
Surf Patrol заметил, что версия Real Pleer не последняя и предложил его обновить.
Скачал, запускаю и вот, что я вижу:
Красота?

Weekend безопасника

Уже больше года я пишу этот блог, в первую очередь для себя, во вторую очередь для информационно-безопасного сообщества. Вот решил опубликовать пару фоток (июль 2011 – жаркая пора перед подписанием или не подписанием Гарантом НОВОГО закона о персональных данных), как я провожу летние выходные дни. Конечно же, на природе, на даче в далеком заМКАДье, теперь уже на границе НОВОЙ Москвы.
Что может быть лучше чтения «классики» – CISA Review Manual.


пятница, 15 июля 2011 г.

Легкая критика продукта Мониториум компании Трафика. Часть 1.

  •  Техническая презентация (26 слайдов):

Очень много ошибок (грамматика, пунктуация), недочеты по стилям, короче клиентам показывать нельзя.
Позиционируется мелким и средним компаниям, поэтому фраза «Система устанавливается между роутером и главным свитчем» – тянет на зачет.
Сама идея анализа по специальным (тематически) словарям мне кажется абсурдной, вот смотрите какое может быть наполнение у этих словарей (шприц, анальгин, медсестра; маркетинг, акция, дивиденд; вертикаль, инновация, откат).
Вопросы:
Есть ли функционал по снятию отпечатков, БЕЗ хранения на сервере самих документов?   
Почему в  архиваторах нет 7Zip?
Шифрованные протоколы вы только распознаете и отсекаете? Перехват при помощи Man in the middle пока не реализован?
Вместо Arora поддерживается проксирование при помощи IE/Firefox/Chrome?
  •  Брошюра (29 страниц):

Продукт расписали очень удачно, убила лишь фраза «В отличие от широко применяемых антивирусов и межсетевых экранов система анализирует не  протоколы и заголовки, а само содержимое передаваемых пакетов» - поаккуратнее надо быть с такими заключениями.
В качестве контактного телефона мобильный вызывает недоумение, кстати, на сайте это сплошь и рядом встречается.

  •  Руководство по установке:

Понятно, что СИСТЕМА это кот в мешке или черный ящик, но нигде не говорится и не спрашивается про объемы хранимой в ней информации, что за СУБД в ней используется, насколько ее хватит и так далее. Полезно было бы увидеть приблизительную аналитику по критериям: кол-во пользователей, объем исходящего трафика, время хранения, чтобы можно было оценить среднюю температуру по больнице для ретроспективного анализа.






среда, 13 июля 2011 г.

"Ответ" от Гаранта конституции

Тоже получил ответ от Гаранта конституции, больше похожий на отписку о маршрутизации.
Вместе с тем, как пишет Лукацкий, в СФ приняли Закон.
Осталась лишь надежда на самого Гаранта.

View more documents from Evgeniy Shauro.

понедельник, 11 июля 2011 г.

Соответствия некоторых продуктов

          Давно хотел посмотреть поближе эти продукты и вот обнаружил некие соответствия. О том, что лучше, что хуже рассуждать не буду, скажу лишь о том, что некоторые производители, не будем на них тыкать пальцем, за выдачу тестовой версии требуют гарантийное письмо от компании. В таких случаях я гарантирую, что «найду» десяток тезисов о недостатках продукта и уж точно его не куплю. Как вы думаете, Microsoft была бы лидером рынка, если бы не давала скачивать свои продукты? А вот наши производители, считают себя умнее.  
Производитель
Aladdin
SecurIT
Atlansys
Физтех-Софт
Двухфакторная аутентификация
Network Logon
Zlogin
-
SD Logon
Шифрование локальных дисков или создание криптоконтейнеров
Secret Disk Enterprise
Zdisk
Enterprise Security System
Strong Disk Corporate
Шифрование логических дисков сервера
Secret Disk Server NG
ZServer
Security Server
Strong Disk Server
SSO
Single Sign-On
ZShell
-
-

Соответствия токенов
           К токенам вышесказанное совсем не относится. Таблицу я сделал, прежде всего, для себя. Под защищенным токеном я понимаю невозможность извлечения закрытого ключа, Под незащищенным токеном я понимаю лишь наличие API для работы с файловой системой токена приложениями других производителей.
Производитель
Aladdin
Актив
«Незащищенный» токен
eToken PRO (Java)
Rutoken
«Защищенный» токен
eToken ГОСТ (1)
Rutoken ЭЦП (2)
Магистра
Совмешен с флешкой
eToken NG-FLASH (Java)
Rutoken ЭЦП Flash
C RFID-меткой
Может быть любой
Rutoken RF
Для Web
eToken PRO Anywhere (1)
Rutoken Web (2)
OTP
eToken NG-OTP (Java)
etoken PASS
-

(1) и (2) Аппаратно идентичные продукты, отличающиеся от базовых поддержкой плагинов для браузеров.

PS. Забавно было наблюдать как долгое-долгое время эти две компании  "бодались" с ведомством, регулирующим вопросы криптографии в России и одновременно 11.05.2011 г. получили РАЗНЫЕ сертификаты на КС2. :)

Впрочем, нужно читать их версии ТУ, ФО и прочих правил.

пятница, 8 июля 2011 г.

Анализ 63-ФЗ или как сделать документооборот юридически значимым

Конечно, не совсем своевременно, но только сейчас руки дошли до этого закона. Основные новшества по сравнению с предыдущей версией 1-ФЗ следующие.

Может быть аккредитованный удостоверяющий центр (УЦ), то есть признанный УЦ требованиям закона.
Этот аккредитованный УЦ выпускает квалифицированные сертификаты, которые выдаются пользователям.
При помощи квалифицированного сертификата создается квалифицированная электронная подпись.

Информация, подписанная квалифицированной подписью, признается в качестве равнозначного бумажного документа.

В случае с квалифицированной подписью не нужен предварительный договор между субъектами, чтобы документооборот был заведомо легитимным.

Условия аккредитации, то есть признания УЦ государством:
Должны быть активы в размере 1 млн. рублей и обеспечение в размере 1.5 млн. рублей.
Должны использоваться сертифицированные технические и программные средства как УЦ, так и используемые для генерации ЭЦП.
В штате должны быть 2 работника с высшим ИТ или ИБ образованием или курсами переподготовки по направлению ЭЦП.
Нужно передавать в Уполномоченный орган реестр квалифицированных сертификатов
Само собой должны быть лицензии ФСБ на услуги в области шифрования и ФСТЭК на ТЗКИ.

Ясно, что должен быть государственный корневой УЦ, которого в настоящее время в России нет! Единственное, что есть это www.reestr-pki.ru, который сделан для выполнения задач в рамках государственного управления в сфере ИТ.

Поэтому единственный вариант создания юридически значимого документооборота это неквалифицированная подпись, то есть обычный УЦ и договор между участниками такого взаимодействия.

среда, 6 июля 2011 г.

Открытое письмо Президенту по поводу внесений изменений в ФЗ-152

Открытое письмо Президенту Российской Федерации Д.А. Медведеву


Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru, а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.

Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.

Срок – 1 августа 2011 г.

Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года, на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.

06.07.2011