27 сентября 2012 г.

Блоги по информационной безопасности – как они пишутся вживую

На международной выставке-конференции по информационной безопасности «Инфобез-Экспо», открывающейся в Экспоцентре на Красной Пресне 3 октября, будет много интересного – семинары, дискуссии, обсуждения, круглые столы, мастер-классы, презентации новых решений и продуктов.
В качестве эксперимента договорились с коллегами провести 4 октября блогер-панель. Что это такое? Пригласили тех, кто работает на ниве информационной безопасности, ведет свой блог и кого действительно читают. Выбрали тему, исходя из того, о чем пишут много и что много комментируют. Вы догадались – это, естественно, тема персональных данных, ну, а мероприятие будет называться «Персональные данные – год после новой редакции закона».
Получилось пять участников, имена которых читающим блоги коллег хорошо известны – Алексей Лукацкий, Алексей Волков, Евгений Царев, Александр Бондаренко, и ваш покорный слуга, эту кашу заваривший, а потому и взявший на себя обязанность секцию модерировать.
Хотелось отойти от традиционных форматов с обязательными презентациями по 20-30 минут и последующими скоротечными обсуждениями услышанного-увиденного с парой вопросов из зала. Поэтому все будет как в живом журнале. Сначала каждый из авторов воспроизведет короткий пост на выбранную им тему, связанную с персональными данными (5-7 минут, не больше), а затем  все желающие (в разумных пределах регламента) получат возможность эту тему прокомментировать, поспорить с автором и с оппонентами. В общем, все как в интернете, только вживую.
Поскольку главным объектом внимания приглашенных блогеров является обеспечение информационной безопасности при обработке данных о гражданах в условиях изменившегося закона, сценарий панели будет выглядеть примерно так.
1.     Евгений Царев порассуждает о персональных данных в цифровом мире и возможности выражения согласия на обработку данных проставлением «галочки» в соответствующей веб-форме, а также попытках аналогичным способом это согласие отозвать, например, отписаться от рассылки.
2.     Алексей Лукацкий будет отвечать на бесконечно обсуждаемый вопрос, надо ли применять сертифицированные средства защиты в информационных системах персональных данных или без этого вполне можно обойтись. Вопрос представляется особенно актуальным в свете письма Банка России по этому вопросу и публикации проектов постановлений Правительства по уровням защищенности, в тексте которых появились неожиданные нюансы, свидетельствующие о некоторых подвижках в позиции регуляторов.
3.       Александр Бондаренко выскажет свою точку зрения на то, как и для чего требуется оценивать угрозы безопасности персональным данным. И вообще, что надо делать – моделировать или исполнять?
4.     Темой Михаила Емельянникова (т.е. моего поста J) будет выполнение оператором своих обязанностей при поручении обработки персональных данных иному лицу, загадочному ЛООПДППО. Есть некоторые соображения относительно того, как реализовать требования закона о моделировании оператором угроз безопасности, определении потенциальных каналов утечки сведений и выборе средств защиты в условиях, когда у ЛООПДППО таких операторов много – десятки и сотни, которые в глаза не видели информационную систему этого самого «лица, организующего…», и вряд ли ее увидят. Ну, у всяких там ЦОДов, аутсорсеров кадрового и бухгалтерского учета и прочих лиц.
5.     А завершит обсуждение подкаст Алексея Волкова «Разъясняй и властвуй: могут ли федеральные органы исполнительной власти разъяснять законодательство и как следует к ним [этим разъяснениям] относиться». Этот же вопрос будет касаться и всего того, что скажут выступающие до Алексея коллеги, но оставим интригу, послушаем автора поста. А потом тоже обсудим.
Вот такое предполагается живенькое мероприятие. Приходите. Читайте посты, готовьте аргументы, участвуйте в обсуждении. Место встречи – Экспоцентр, конференц-зал «ФОРУМ», 7 павильон, 5 зал, время – с 14.30 до 16.00 4 октября.

26 сентября 2012 г.

Уведомление о неучастии в Съезде российских ИТ-директоров

Уважаемые коллеги!
Хотел бы вас уведомить, что я не участвую (и не планировал) в Десятом Съезде российских ИТ-директоров Russian CIO Summit – 2012 и тем более не модерирую там секцию. Мое имя организаторы используют без моего ведома и согласия, а на просьбы исправить ситуацию не реагируют. Поэтому вынужден сообщить об этом сам.
Название секции, которую я якобы должен был модерировать, -  «CIO как центр безопасности. Поддержание непрерывности и борьба с угрозами бизнесу», также придумано организаторами и не имеет ко мне никакого отношения.  Я вовсе не считаю CIO центром безопасности.
Желающим посетить мероприятие, возможно, стоило бы предварительно проверить программу. В ситуации со мной это откровенное «разводилово».
Ссылку на мероприятие не даю, поскольку:
1.     Рекламировать его не собираюсь.
2.     Сайт организаторов конференции содержит вредоносный контент:

23 сентября 2012 г.

DLP как термометр уровня информационной безопасности в бизнесе

В прошедшую пятницу бодро, при хорошем стечении народа, и в современном стиле с диванчиками на сцене, яблоками и огромными плазменными панелями прошла V международная конференция DLP-Russia. 
Не готов комментировать всю программу, тем более, что секции шли в трех параллельных потоках. Поэтому впечатления сугубо субъективные – от реакции на мою презентацию про судебный процесс, связанный с увольнением за разглашение коммерческой тайны, и от итоговой панельной дискуссии об охране объектов интеллектуальной собственности.
Как-то так получилось, что аналитики нашего агентства в последнее время глубоко погрузились в тему судебной практики, связанной с вопросами, традиционно относящимися к сфере информационной безопасности. Интерес к этим вопросам активно проявляют клиенты, к которым пришло понимание того, что дело вовсе не в эффективности разбора протоколов межсетевым экраном или эффективности эвристической компоненты системы предупреждения вторжений. Дело в деньгах – потерянных или приобретенных по результатам деятельности подразделения ИБ. Про эти проблемы я уже писал не раз и не два. И, тем не менее, обсуждение презентации про решение Достоевского райсуда города Обломова показывает, что для многих коллег, причем самого разного возраста, тема остается неожиданной, и к ее проблемам большинство из них не готовы (презентация здесь). 
Дискуссии последних лет о том, насколько специалистам в области ИБ необходима качественная юридическая подготовка, упирается в стену с другой стороны. Практика общения с заказчиками, как реальными - на проектах, так и потенциальными – на курсах и семинарах, показывает, что юрисконсульты наших предприятий и организаций к обсуждению проблем интеллектуального и информационного права не готовы. Они в большинстве своем – хорошие цивилисты-практики, умеющие отстоять свою позицию в суде при оценке выполнения договорных обязательств или взыскании дебиторки. Но вот исключительные права на результаты интеллектуальной деятельности, охраноспособность информации как секрета производства или правомерность обработки персональных данных без явно выраженного согласия субъекта вызывает легкую оторопь как минимум. С другой стороны, на курсах по проблемам применения законодательства о коммерческой тайне и персональным данным, особенно вне Москвы, специалистов по безопасности у меня практически не осталось. Сплошь юристы. Т.е. проблема явно есть, а ее решения пока не видно. То ли безопасники получат второе высшее и станут еще и правовиками, то ли юрисконсульты разберутся в принципиально новой тематике, что, как говорил товарищ Сухов, вряд-ли – уж очень она специфическая и требует знаний, в их обычной деятельности не использующихся. 
В этих обстоятельствах порадовала панельная дискуссия «Защита интеллектуальной собственности и информационных активов предприятия» и совсем не потому, что она прошла под моим модерированием ;). 
Порадовала в первую очередь составом участников, приглашенных организаторами.  Андрей Селезнёв, директор по развитию бизнеса компании Marussia Motors, которая обещает в ближайшее время взрыв российского автопрома, вечного Infant Terrible отечественной экономики. Рустэм Хайретдинов, последовательно и уверенно выступавший как топ-менеджер двух компаний-разработчиков софта, а не средств защиты информации. Владимир Звейник, заместитель директора по безопасности, начальник управления Федеральной уполномоченной организации «Универсальная электронная карта», в недавнем прошлом работавший в «Рособоронэкспорте» и спецслужбах.
Взгляд на интеллектуальную собственность и способы ее защиты с трех совершенно разных, не коррелирующих сторон, неожиданно оказался очень близким. Оказывается, режим коммерческой тайны, не останавливающий бизнес и не заливающий носители информации бетоном, бизнесом востребован. И соответствие требованиям регуляторов воспринимается положительно, даже если эти регуляторы бизнесу не помогают, но риски, в первую очередь, государственные, создают. И нормотворчество, которое часто пытаются назвать «бумажной безопасностью», нужно, если, конечно, это не попытка прикрыть 50-ю сантиметрами бумаги известное место специалиста по ИБ. И нематериальные активы, и их стоимость могут быть понятны не только бухгалтерам, но и безопасникам, если они эти активы защищают.
Безусловно, нюансы есть. Рустэм говорил о скорости бега, позволяющей оторваться от конкурентов, пока они будут анализировать выпущенные лидером миллионы строк кода. Андрей прозрачно намекал на правильный выбор юрисдикции для защиты своих исключительных прав на новый узел автомобиля или изгиб его крыла, а также о правильной мотивации персонала. Владимир был более традиционен и не сомневался в действенности режима.

Но главным было то, что люди из совершенно разных сфер деятельности, действительно заботящиеся об исключительных правах на защищаемую информацию, могут договориться. Если они говорят о бизнесе, о прибыли и об убытках, о способах их взыскания. Если говорят об организации работы персонала, который знает все, но может это все отнести в клювике к конкуренту, а может стать грудью на защиту, когда это пытается сделать его коллега.


Конференция DLP – идеальное место для таких дискуссий. Потому что DLP-система (Data Leak Prevention - система предотвращения утечки информации) – практически единственное средство информационной безопасности, решающее исключительно бизнес-проблемы. И если организаторы конференции в следующем году продолжат эту линию, вовлекая в обсуждение топ-менеджмент, владельцев бизнес-процессов, юристов, финансистов, у конференции могут появиться совершенно новые качества. И тогда она станет уникальной на рынке.

9 сентября 2012 г.

Дайджест изменений законодательства по информационной безопасности за прошедший год

В четверг провел организованный Учебным Центром «Информзащита» вебинар «Изменения законодательства в области информационной безопасности и практики его правоприменения». Тяга к знаниям границ не знает, но организатор все же был вынужден остановить запись на вебинар за 10 дней до его начала, так как количество записавшихся достигло 500 человек и превысило технические возможности.

После часового дайджеста по затрагиваемым проблемам больше 40 минут отвечал на вопросы в чате. Как ни прискорбно, основная масса по-прежнему касается законодательства о персональных данных. Прискорбно, потому что тема формального соответствия, подкрепляемая поручением гаранта довести до конца дело с изменением штрафов, направляет работу огромного количества специалистов в сторону решения проблем, далеко не всегда критичных для организаций и предприятий с точки зрения реальных потребностей бизнеса. А это значит, что на действительно серьезные проблемы (а иногда и просто на их выявление) сил, ресурсов и времени будет недостаточно.

Для тех, кто не слушал или не успел записаться, но кому интересно – выкладываю презентацию. И еще раз - это не анализ проблем и не рецепты их решения. Это дайджест, ограниченный всего лишь 60 минутами. Поэтому многого там нет, а что-то – только очень кратко упомянуто. Но для тех, у кого следить за динамикой принятия нормативно-правовых актов нет ни возможностей, ни большого желания, презентация может быть полезной – хотя бы для того, чтобы просто сделать пометки и поглубже разобраться.

5 сентября 2012 г.

Добро пожаловаться!

В недавнем посте я писал про рост понимания мошенниками значимости персональных данных для изыскания дополнительных способов изъятия денег у населения. Но и население, естественно, не дремлет. Оно тоже начинает понимать эту самую значимость, свои права и возможности, а также задумываться над такой загадочной для русской души категорией, как компенсация морального вреда.
Наиболее способные сделали из этого целый бизнес. Вот, например, неожиданно ставшая широко известной в нешансонных кругах певица. Оказывается, она давно изобрела способ ловли «на живца», публикуя у себя сведения о своей собственной частной жизни, а потом тягая желтые или похоже окрашенные издательства к ответу за незаконное распространение персональных данных. Учитывая пиетет россиян к публичным  деятелям, суды принимают близко к своему судейскому сердцу проблемы знатока порядка посещения «мичетей», входят в ее сложное положение, и регулярно выписывают материальную помощь в несколько сот тысяч рублей, немного охлаждая запросы мастерицы вокала, измеряемые миллионами.
Не такие известные, но сознательные граждане тоже осваивает технику воздействия на операторов, использующих их личные данные без достаточных на то оснований или гораздо разнообразнее, чем предусматривалось при сборе. В «Отчете о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год» (первом, опубликованном по данному вопросу) сообщалось, что за отчетный период в адрес службы поступило 146 обращений граждан, и в 86 из них граждане обжаловали действия конкретных операторов персональных данных, нарушающих, по их мнению, требования ФЗ-152. Примерно такое же количество обращений граждан – порядка 150 (4% всех обращений граждан в службу) – поступило в уполномоченный орган только во 2 квартале 2011 года. А потом темп роста резко изменился. В соответствии с последним отчетом за тот же период, 3 месяца, но уже во втором квартале 2012 года, количество обращений выросло в 6,5 (!) раз и достигло 975, что составило 17% всех поступивших в службу запросов.
Заметно и проникновение новых технологий в нашу жизнь. Если в 2009 году через сеть Интернет и по электронной почте в Роскомнадзор поступило примерно 20% всех обращений, то во 2-м квартале 2012 года – уже 66%, причем 15% - непосредственно через форму на официальном сайте сети Интернет.
Очень удобно, просто и быстро.
Как истинный естествоиспытатель, проверил на себе. Охотно делюсь впечатлениями.
Исходная обстановка: заспамили. Некая компания регулярно стала присылать мыло с рекламой (адресной – «Уважаемый(ая) Емельянников Михаил!»), и после двух тинькоффых подряд я не выдержал. Троекратное обращение к спамерам единственно возможным способом – через специальную форму на сайте ничего не дало. Тинькоффы продолжались. Между прочим, кроме широко и часто обсуждаемой ст.15 ФЗ-152, спам – еще и нарушение ст.18 ФЗ «О рекламе», за которое предусмотрена, в отличие от персональных данных, вполне конкретная ответственность – часть 1 ст.14.3 КоАП, до 500 тыс.рублей штрафа (нарушения, подведомственные Федеральной антимонопольной службе - ФАС). Статья работающая – см., например, здесь.
Вот я и настрочил две жалобы – на сайте Роскомнадзора и на сайте ФАС. Форма у ФАС отличается от роскомнадзоровской – там надо обязательно еще и почтовый адрес указать (это оказалось впоследствии вполне конкретной засадой). Кстати, найти форму для заполнения обращения на сайте ФАС совсем не просто – для нуждающихся - ссылка.
На сайте Роскомнадзора в качестве аргумента к жалобе можно прикрепить файл, с этим самым спамом, например. Имейте ввиду, файл – только один, поэтому если аргументов много, заранее сформируйте архив. Я такие файлики приаттачил. На сайте ФАС прикрепление файлов не предусмотрено.
ФАС получение жалобы на электронную почту квитирует (подтверждение получения, телефон канцелярии, где можно узнать входящий номер и департамент, рассматривающий обращение). Роскомнадзор – нет, обращение падает в пропасть. Повторное, кстати, - тоже.
Дальше – ждем по закону 30 дней.
Первое и занятное наблюдение – персональные данные жалобщика надзорными органами передаются … тому, на кого жалуешься. Генеральный директор спамера отзвонился быстро, оперативно, принес извинения, рассказал о шоке, вызванном попыткой узнать, кто я такой, через поисковики. Предложил компенсацию доставленных неудобств. Спам прекратился. Инцидент можно было бы посчитать исчерпанным. Но ведь интересно, что дальше будет!
Роскомнадзор (территориальное управление по месту нахождения спамера) отозвался строго по закону. Ответ – смотрите сами.
Он показался мне занятным. Естественно, никакое пользовательское соглашение я не заключал, форму на сайте не заполнял, а форма отписки от спама в письмах – мертвая, как уши у соответствующего осла. 
Что в госорганах – хорошо, так это уставной порядок. На письме – ФИО и телефон исполнителя. Звоню. Диалог – специально для Кафки:
- Я не заполнял пользовательского соглашения.
- Но Вы об этом не указали в жалобе.
- Я понятия не имею о его наличии и на сайте был единственный раз только с целью отписаться от спама.
- Вы не указали в жалобе, что не заполняли пользовательского соглашения.
- Откуда Вы знаете, что я его заполнял?
- Нам сообщил об этом генеральный директор компании, на которую Вы жалуетесь, и не верить ему у нас нет оснований.
- Я же жалуюсь на получение спама, на который я не давал согласия!
- Согласие на это есть в заполненном Вами пользовательском соглашении.
Все. Круг замкнулся.
Отсюда выводы. Отношение к публичным офертам (пользовательским соглашениям) и галочкам на страничках сайтов в Интернете, подтверждающим согласие субъекта на обработку его персданных, у некоторых (за все говорить не могу) территориальных управлений Роскомнадзора за последние годы радикально изменилось. Похоже, появилась презумпция невиновности оператора. Во всяком случае, в данной ситуации она очевидна. Жалобы надо писать тщательнее, с полным изложением аргументов. Сам по себе спам – еще не аргумент.
И про ФАС. Здесь все веселее. Ответ через 30 дней на электронную почту я не получил. Позвонил, дали телефон исполнителя. Диалог еще веселее, приводить не буду. Короче, ответ ушел на почту неэлектронную, воспроизвести его по телефону нельзя, получить ответ по электронной почте – тоже, поскольку таковы правила.
Опытным кляузникам читать все, что указано на сайте надзорного органа, надо обязательно. Перед формой обращения на сайте ФАС среди прочих есть фраза: «4. Ответ направляется на почтовый адрес. При необходимости получения ответа на электронный адрес, просим указать это в обращении». Не указал – жди ответа через Почту России, как соловей лета. Жду. Получу – расскажу.
К чему так многобукв? Если еще кто помнит, ФЗ-152 – про обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а не про ведение реестра операторов. И наши с вами права и свободы – это и наши же проблемы. Так что если они нарушаются – добро пожаловаться!