Вчера на «Коде информационной безопасности» в Самаре выступал на тему последних изменений в законодательстве о персональных данных. Выкладываю презентацию.
Я стараюсь в последнее время не писать о законодательстве
На Магнитке традиционно проводилась закрытая сессия
Чтобы плавно войти в рабочий ритм, традиционно публикую
Спецоперация спецоперацией, а нормативка по расписанию.
Последние недели в СМИ стала раскручиваться история
Что-то подзатянул я с выпуском дайджеста —
Неудачный цвет для заголовков таблиц (бело-серый)
Это при конвертации в PDF так получается 🙁
Вопросы возникли такие:
1. В проекте Постановления Правительства "О контроле и надзоре…" исключается надзор за выполнением организационных и технических мер защиты, означает ли это, что при проверке в коммерческой организации по прежнему никто не будет проверять СЗПДн?
2. Почему РКН не считает электронную почту ИСПДн, если в почтовом справочнике содержатся данные (фамилия, имя, подразделение, должность, номера корпоративных и личных телефонов и т.д.), совокупность которых они считают ПДн? Где высказывалось это мнение? Вопрос насущный, т.к. защита электронной почты с удаленным доступом в соответствии с требованиями ФСТЭК и ФСБ — это очень веселая тема.
3. Может ли считаться сбором ПДн (и соответственно, нарушением 242-ФЗ) следующий сценарий: иностранная компания со своего сайта предоставляет работникам своей российской дочки доступ к своей системе и обязывает вносить в неё информацию, которая, в том числе может, содержать ПДн граждан РФ. Причем изначально вся эта информация собирается российской дочкой и хранится в БД на территории РФ?
1. Да
2. Это мнение РКН, прозвучавшее на одном из совещаний, где РКН был задан этот вопрос. Обоснование они не привели. Более того, они в любой момент могут от него отказаться.
3. На мой взгляд, не может
Алексей Викторович, я был одним из слушателей конференции Код ИБ в Самаре, и, к сожалению, не успел задать вопрос в первой секции, которую вы вели ("тренды и угрозы в сфере ИБ"). На мой скромный взгляд совсем не специалиста по безопасности, в ней был недостаточно освещен вопрос атак на сами средства обеспечения безопасности.
С точки зрения таргетированной атаки на организацию (особенно с помощью инсайдера) использование уязвимости,например, в средстве криптозащиты, выглядит весьма "вкусно", например
— Уязвимость в ESET, открытая специалистами Google: https://www.esetnod32.ru/company/press/center/eset-zakryla-uyazvimost-obnaruzhennuyu-google/
— Уязвимость в TrueCrypt (повышение привилегий и доступ к криптоконтейнеру для любого пользователя) http://habrahabr.ru/company/pt/blog/268087/
— MDM SAP Afaria, которая, судя по всему — одна большая уязвимость ("вшитые" ключи для симметричного шифрования паролей доступа к web-интерфейса, возможность стереть информацию с любого смартфона под контролем MDM, зная только его IMEI) http://habrahabr.ru/company/dsec/blog/267907/
Ситуацию усугубляет то, что современные средства антивирусной- и криптозащиты — это достаточно большой объем кода, работающего в режиме ядра и в пользовательском пространстве с высокими привилегиями. При этом большой объем кода затрудняет его анализ на предмет непреднамеренных ошибок, кроме того, системные привилегии, с которыми работает код систем защиты, делает его "лакомым кусочком" для злоумышленников.
Имеет место и инертность мышления пользователей — считается (но не подтверждено), что системы защиты безупречны с точки зрения собственной безопасности, не содержат уязвимостей и безопасны "по-умолчанию", потому что эти системы создают специалисты по безопасности. Тем не менее — цель существования любой компании, в том числе и создающей средства защиты информации — это получение прибыли, поэтому не исключено, что в некоторых случаях дешевизне разработки уделяется большее внимание, чем ее качеству.
Хочется узнать ваше мнение по этому вопросу.
Ну я бы не назвал это трендом. Скорее один из векторов атак