среда, 7 декабря 2011 г.

АРБ о ПДн и СТО БР ИББС

Тут доступно информационное письмо Ассоциации российских банков (АРБ) по поводу июльской редакции 152-ФЗ "О персональных данных".
Краткие выводы:
  • СТО БР ИББС, по-прежнему, полностью легитимен как альтернатива требованиям ФСТЭК/ФСБ по защите ПДн;
  • Поправки стоит ждать не ранее того, как Правительство выпустит РД по уровням защищённости;
  • Все спорные вопросы решены в пользу тех, кто принял СТО БР ИББС.
Однако я хотел бы дать некоторые советы читателям, основываясь на собственной практике общения с регуляторами:
  • Классифицировать информационные системы стоит, в том числе, и по классификации К1-К4. Это обычно не несёт никаких негативных последствий, но значительно упрощает диалог с регуляторами;
  • По мнению представителя Роскомнадзора, обработка резюме требует согласия кандидата, т.к. факт заключения с ним трудового договора неизвестен. Вероятно другое мнение по этому вопросу прийдётся доказывать в суде;
  • Ксерокопия или скан паспорта является биометрической информацией;
  • Всем, кто направил уведомление в РКН без информации об ответственном и о мерах по защите ПДн, следует направить информационное письмо с недостающей информацией в РКН до 2013г;
  • Стоит так же озаботиться наличием некоторого количества сертифицированных СЗИ (например, ключей eToken). РКН может запрашивать копии сертификатов. ФСТЭК очень отрицательно относится к "одобренным руководством" несертифицированным СЗИ;
  • Следует так же различать архивное хранение ПДн от хранения ПДн в действующей ИС. Архивное хранение - это бэкап БД. Поэтому не следует допускать хранение сведений об уволённых сотрудниках непосредственно в ИСПДн после окончания отчётного периода.

пятница, 2 декабря 2011 г.

161-ФЗ "О национальной платежной системе" и СТО БР ИББС

Как мы знаем, июльская поправка к 152-ФЗ "О персональных данных" леголизовала СТО БР ИББС в качестве отраслевого стандарта безопасности персональных данных, однако это не единственный федеральный закон, ссылающийся на СТО БР ИББС.

27 статья ФЗ "О национальной платёжной системе" говорит нам о том, что Банк России так же устанавливает требования по защите информации в платёжных системах, обязательные для исполнения всеми операторами по переводу денежных средств, банковскими платежными агентами  и субагентами, операторами платежных систем и операторами услуг платежной инфраструктуры. Срок вступления указанной статьи в силу - 27.06.2012. 

Однако следует напомнить, что внедрение СТО БР ИББС - процесс затяжной, поэтому откладывать его на вторую половину года не стоит.

понедельник, 31 октября 2011 г.

Глобальное обновление BSAT 1.3.

Сегодня мы выпускаем новое обновление BSAT - 1.3. Мы потратили много усилий на то, чтобы удовлетворить потребности и самых "ортодоксальных" аудиторов и тех, кто видит в методике не цель, а средство.


BSAT 1.3 полностью реализует все особенности Методики оценки СТО БР ИББС-1.2-2010, оставляя аудитору возможность активно влиять на процесс оценки ИБ.

Теперь поподробней.. 

четверг, 20 октября 2011 г.

Флешки, налоговая и ДБО

Теме мошейничества в системах ДБО уделяется сейчас много внимания. Главная проблема здесь - заражение вирусами наподобие Зевса компьютеров - клиентов системы ДБО банка.
Тут идёт настоящая торговля "загрузками" троянов на машину жертвы, и преступники постоянно ищут способ этот процесс автоматизировать/оптимизировать.
Как известно, налоговая недавно отказалась наконец-таки от дискет и перешла на флешки. Теперь между компьютером налогового инспектора и бухгалтериями юр.лиц курсируют флешки с отчётностью, причем "ширина канала" со стороны налоговой составляет сотни и тысячи флешек в день. Т.о. заражённый компьютер налогового инспектора способен заражать сотни компьютеров с установленным банк-клиентом ежедневно. Подсмотреть название антивируса, которым пользуются в налоговой, так же не составляет никакого труда. Спрятать вирус от конркетного антивируса - дело техники.

Так что будьте готовы.

[UPDATE] Вбил в гугл фразу "принес вирус из налоговой". Да, всё так и есть.

вторник, 4 октября 2011 г.

BSAT 1.2.1.0

Небольшое обновление программы. Добавлена возможность выбора шкалы. Цветовой индикатор вопроса теперь так же отображает численное значение частного показателя.

Так же по просьбам пользователей поля "Дата" и "Кем утвержден" документальных свидетельств сделаны необязательными.

[UPDATE] видеоролик, демонстрирующий новые возможности BSAT 1.2.1, выложен на youtube.
[UPDATE2] микроапдейт 1.2.1.1. Добавлена синхронизация потоков программы для лучшей производительности и корректной работы при быстром переключении групповых показателей.

среда, 28 сентября 2011 г.

Новая версия BSAT 1.2

Закончили работу над новой версией BSAT. Демоверсия уже доступна на нашем сайте.

Это самое большое обновление BSAT с момента выхода программы: код программы вырос почти в два раза. 

Вот основные нововведения в версии 1.2:

суббота, 17 сентября 2011 г.

Презентация BSAT

Тут небольшая презентация о нашей программе, рассчитанная на  самого общего слушателя. Возможно, Вам будет интересно.

пятница, 9 сентября 2011 г.

Несколько фактов о BSAT

Конечно, зачем рассказывать о программе когда можно просто скачать и посмотреть всё самим? Однако, есть ряд интересных фактов, которые скрыты от пользователей программы...

среда, 7 сентября 2011 г.

К вопросу о тройной оценке показателей М1-М6

В методике оценки СТО БР ИББС-1.2 есть пункт:
7.4. Оценивание частных показателей в рамках групповых показателей М1÷М6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС1.0 по следующим направлениям:
— банковский платежный технологический процесс (М7);
— банковский информационный технологический процесс (М8);
— банковский технологический процесс, в рамках которого обрабатываются персональные данные (М10).
Давайте попробуем понять каким образом нам нужно правильно оценить  эти показатели.

четверг, 1 сентября 2011 г.

Глобальные дистрибьюторские системы

Каждый раз вставляя вашу карту в банкомат информация о вас и ваших транзакциях улетает в процессинговый центр VISA либо MasterCard, находящийся за рубежом. Каждый раз покупая авиабилет даже на внутренние авиалинии, ваши персональные данные так же улетают к дяде Сэму (или Генриху :)). Теперь чуть подробней...

среда, 17 августа 2011 г.

Советы аудитору 1

Занимаясь ответственной работой, всегда удобно иметь карту грабель под рукой. С другой стороны, давать советы приятно не менее :). "Ну, поехали?" (с)

вторник, 2 августа 2011 г.

и вновь мы ждём..

Ещё не отгремели на просторах сети баталии о поправке в 152-ФЗ, однако большинство из нас снова погрузилось в бесконечное ожидание.
Вначале мы ждали требований ФСТЭК, потом - разъяснений требований ФСТЭК, потом - новых требований ФСТЭК, трижды ждали срока "приведения в соответствие", дважды ждали поправок в ФЗ.

Теперь, когда все сроки, казалось бы, уже должны были подойти к концу... мы ждём дальше.

Чего ждём? "Уровней защищённости" от Правительства, требований к этим уровням, новых РД ФСТЭК и ФСБ. Ждём информационного письма от Банка России с объяснениями:  можно ли использовать "одобренные руководством СЗИ"? считать ли всё-таки АБС - ИСПДн?

Порой мне кажется что это ожидание никогда не кончится.

Недавно мне казалось, что "лучь света" все-таки появился на горизонте: ГНИИ ПТЗИ (ФСТЭКовские креативные мозги в Воронеже) активно работают над СТР-К 2.0 (Положение-К), в котором будут и терминалы, и виртуализация и много чего ещё. Появилась надежда, что КИ, КСИИ и ИСПДн будут мирно жить под одним крылом.
Но тут я вспомнил классическое "выбери любые 2 из 3х: быстро, качественно, дешево".
"Быстро" уже выбрано ст.19 152-ФЗ. Учитывая зарплаты в ГНИИ, вторым будет явно "дешево" :(.

И все-таки, я надеюсь, что СТО БР прочно войдет в банковский ИБ мир и наступит эпоха определённости.... хотя бы до 2012 года* ;).
______________________________________________
* "Общие положения" обновляются раз в 2 года. В 2012 ожидаем 5 редакцию СТО БР ИББС-1.0!

понедельник, 1 августа 2011 г.

152-ФЗ v2.0. Так ли всё плохо?

Прошедший месяц был удивительно богат на сенсации (если это слово применимо к некоторым событиям): катастрофы и террористы, мегафоны и яндексы, взломы и аресты за взломы. К этому списку можно добавить еще и жару "за сорок" без кондиционера (старый добрый советский электро "веер") и постоянно спотыкающийся интернет. В Краснодаре лето :).

четверг, 9 июня 2011 г.

Работа с Приложением В. Продолжаем...

Очередной неудобной особенностью работы с Приложением В Методики оценки СТО БР ИББС-1.2-2010 является выбор нужного уточняющего вопроса, влияющего на рассматриваемый частный показатель....

Классификация ИСПДн "по-банковски"

Хотел бы коснуться вопроса классификации ИСПДн по Стандарту Банка России. Есть ряд тонкостей в этом вопросе...

пятница, 27 мая 2011 г.

Количество без качества. Оценка частных показателей по 2 шкалам.

В методике оценки расписана качественная оценка частных показателей ИБ. Две шкалы: степень документированности требования и степень выполнения. Причем выполнение оценивается весомей, чем степень документированности, что, в общем, правильно. 

Рассмотрим подробней...

четверг, 26 мая 2011 г.

Безработный - это преступление..

Посетил конференцию, организованную департаментом и службами занятости по поводу защиты персональных данных. Центры занятости спрашивали, как им быть: милиция полиция запрашивает постоянно списки безработных. Вместо целей и объяснений ссылается на закон об оперативно-розыскной деятельности. Конкретных фамилий не называет. Просто хочет раз в месяц базу безработных себе. 
Представитель ФСБ высказался четко и ясно. Мы ловим преступников. Нам надо знать всё обо всех, т.к. мы обеспечиваем безопасность и не должны центрам объяснять что и зачем (мол тайна следствия). 
Вот так вот в нашей стране безработные становятся преступниками. Вот так вот, ища работу, вы автоматически становитесь объектом "оперативно-розыскной деятельности". 
Ну чем не "презумпция виновности"? 

PS. Огромное уважение тем центрам занятости, которые отвечают полицейским и ФСБ "Для каких целей? На каком основании?". Побольше бы таких. 

вторник, 24 мая 2011 г.

вторник, 19 апреля 2011 г.

Вопросы-аналоги Методики оценки

Методика оценки содержит 425 вопросов. Из них 78 вопросов - вопросы-аналоги. Большинство из них сгруппированы в групповые показатели М28-М34. К слову сказать, оценка EV3 ("Уровень осознания ИБ") целиком формируется из вопросов-аналогов.

Отвечать на вопросы аналоги не нужно! Оценка на данный вопрос копируется из вопроса - оригинала (а вот весовой коэффициент не копируется). Работая в BSAT Вы обнаружите, что оценивание вопросов-аналогов программа берет на себя.

Не все аналоги ограничиваются групповыми показателями М28-М34.

Например, частный показатель М19.2 "Сформирована и поддерживается ли в актуальном состоянии централизованная база инцидентов ИБ?" является аналогом частного показателя М13.6 "Создан ли и поддерживается ли в актуальном состоянии единый информационный ресурс (база данных), содержащий информацию об инцидентах ИБ?".


понедельник, 18 апреля 2011 г.

Перечень документов по СТО БР ИББС

На этапе подготовки к Аудиту, встает вопрос о том, какие документы должны в организации быть. Обычно, фраза "у всех всё по-разному" не спасает. Хотят перечень.

Ну что ж, вот он:

среда, 13 апреля 2011 г.

Особенности работы с Приложением В Методики оценки СТО БР ИББС-1.2

Часть 1. Часть 2. 

Ознакамливаясь с Методикой оценки СТО БР ИББС-1.2 рано или поздно вы наткнетесь на Приложение В "Уточняющие вопросы частных показателей ИБ". Перечитывать 2 странички Методики (10 раздел), посвященных работе с уточняющими вопросами, придется, вероятно, несколько раз. Тому есть 2 причины:
- на фоне математически ясной Методики оценки Приложение В выглядит достаточно..  нечетко;
- понять, как влияют уточняющие вопросы на частные показатели без поллитра глубокого анализа достаточно сложно.