Архив метки: персональные данные

Cisco головного мозга

Здравствуйте, здравствуйте мои ненаглядные. Как же я по вам скучал. Скучал все 3000 километров по нашим бескрайним просторам. Но скучал я не один.

Разумеется, одним глазом наблюдал, что твориться в нашей поибэ, а твориться там форменная чертовщина. Какой-то месяц безудержного пиара.

В начале, Solar Security под заголовком «как правильно оформить внедрение системы для защиты от утечек» разослал всем статью о документах, при внедрении DLP. Но забыл упомянуть 137 и 138 статьи УК, под которой ходит каждый информационный безопасник. Сразу стало понятно, что статью писал теоретик.  И цель понятна. Цель статьи – «смотрите, с помощью нашей DLP вы всех посадите и получите много палок!!1111». Пока же, с такими статьями посадят самих пользователей DLP Solar Dozor.

И, конечно, интересно узнать в соответствии, с какими статьями ТК РФ необходимо внедрять именно DLP.

Потом бомбануло у Ильи Шабанова потому, что не все признают гениальность последнего отчета на его сайте о SIEM. Материал, такое ощущение, представляет собой компиляцию пресс-релизов компаний вендоров, приправленных  словами «SIEM – очень нужная вещь». Я понимаю, что каждый зарабатывает, как может. Сиди спокойно, ваяй тяп-ляпки, пили денюжку. Так ведь и доходы упадут. Кстати, что косяки на сайте поправили – молодцы, там еще столько же осталось.

Алексей ЛукацкийФинальным аккордом стал уход Алексея Лукацкого из темы защиты персональных данных. Вот, что он пишет:

Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных «взлетела» благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое «четверокнижие», которое стало драйвером рынка ИБ на тот момент.

Ну, никаким драйвером оно тогда не стало. И не было вплоть до 2011 года. Но разгон взяли.

Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Пафос, это хорошо.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности.

Что лишний раз доказывает слова о том, что вся деятельность Алексея направлена на лоббирование интересов работодателя.

Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно.

Очень странно. До 2014 года достаточно было оргмер. Вот, одна из первых статей Алексея о ЗПД. Как все хорошо на западе, как все плохо у нас. Но, например, в том же четверокнижии было и про шум, и стеганография. Я сам проходил проверку, применив стеганографию. Либо Алексей документы не читал, либо целенаправленно хаял.

Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя,

И продвигая удобные для себя положения. Хорошо, что не срослось.

предлагая различные обходные маневры для потребителей.

Тем самым подставляя их по полной. Ведь невозможно учесть потребности потребителя, когда речь идет о впаривании железок на миллионы долларов.

И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы.

Уж, лучше про законодательство. Про бизнес, на примере BYOD, было бы хуже.

Но увы… законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава «бумажного безопасника» :-)

Звание теоретика (а не бумажного безопасника) за Алексеем закрепилось, когда он вместо безопасности занялся своим пиаром, продвигая свои фантазии, как истину в последней инстанции. И они постоянно не сходились по фактам. Например, Алексей в свое время любил кичиться тем, что начал заниматься безопасностью в 91 году. Хотя и он, и я, знаем, что сделать он в это время не мог. Но звучит-то красиво. Занимаюсь ИБ с развала – Союза! И не жалеет об этом.

http://www.pircenter.org/news/6697-alexey-lukatsky-for-open-collar-project

Миф – построенный на лжи.

 

Спустя год я был вовлечен в процесс изменения федерального закона «О персональных данных» и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор.

Силком наверно затащили.

За эти 9 лет было сделано немало — участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ.

Участник рабочих групп, автор 300+ статей. Вот, в чем проблема всех подобных персонажей, мнимые достижения, выдаются за реальные. Ну, протер штаны на хороших стульях, а дальше что?

Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Судя, по обилию проблем в терминологии – не удалось сделать ничего.

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был.

Ушел, друг, через которого можно было успешно лоббировать?

С уходом Шередина ситуация стала ухудшаться,

Чем-то это напоминает ситуацию с Эриком Давидычем, если вы понимаете, о чем я.

а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже.

В чем? Стали требовать сертифицировать Cisco? Так там и так дырка на дырке, как говорят.

Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган.

А каким должен быть регулятор? Пальчиком грозить? Так грозили уже, с 2008.

Чего только стоит исключение из названия своей основной функции — защиты прав субъектов ПДн, слов «прав субъектов». Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать «защита ПДн», что лишний раз подтверждает простую мысль — на права субъектов регулятору давно наплевать.

Если Алексей так любит точность формулировок, то что же за 9 лет, не привел их в надлежащий вид, на многочисленных рабочих группах?

Закон о ПДн превратился в инструмент давления на российские и зарубежные компании.

На любимом Лукацким Западе, с законами все еще строже. И Cisco там так просто не отделалась бы не выполнив какой-нибудь закон, как у нас.

Донести до регулятора свою позицию невозможно.

Смотря, что за позиция.

Прислушиваться к экспертам регулятор не хочет.

Это к Алексею Лукацкому?

Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно.

Т.е. Алексей не успевает за веяниями времени? Уж более статичной нормативки, чем в ЗПД – не найдешь.

Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Друзей не осталось, план теперь не выполнить.

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам

Что мне в экспертах всегда нравилось, так это желание консультировать, не неся за это ответственности. Помню, Алексей еще пиарил свою контору по продаже документов по ИБ.

(преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!

Здравствуй, КИИ!

 

Что ж, отдадим должное целой эпохе. Эпохе из 90-х, когда по старой привычке, западные друзья хотели нами всеми тут поруководить за наш счет.  Одним из проводников данных идей – был Алексей Лукацкий. Благодаря, стечению обстоятельств и определенному заказу Алексей получил определенную известность, и сразу стал выполнять заказ. Я просто не могу по другому объяснить все эти скандалы и упертость по отношению к Cisco с его стороны. А уж, как Алексей пропихнул через своих знакомых в самые крупные сети банкоматов цисковские устройства – история отдельная.

Но не фортануло. За исключение отдельных всплесков. Зато теперь можно перенести внимание на КИИ, да, рынок пожиже, зато методики отработаны.

Не чокаясь.

Всего вам доброго.

Как кидали МФИ Софт

Всем, здравствуйте. Проснулся я с утра, и было хорошо, солнышко светит, птички поют. Но к обеду набежали тучки, закрыв живительный ультрафиолет. И вспомнилась мне история, которая показывает звериный оскал нашей отрасли.

События в этой истории носили угнетающий эффект, закрывая благословенное солнце квоты. Поехали.

 

Глава. Будь бдителен или про пидарасов

В жизни пресейла полно неожиданностей и странностей. Например, к вам будет прибегать руководство, и всучивать какие-то таблички, где вам необходимо будет проставить вероятность (в процентах) реализации тех или иных ваших активностей. Понятно, зачем оно им нужно, ввиду несложной математики, это можно использовать в стратегическом планировании. Но, что делать нам, людям приземленным?

Допустим, вы написали ТЗ и заказчик именно его пустил на конкурс. Какая вероятность, что вы подпишите договор? 90%, 70%, 50%? Да, хрен его знает. По-моему опыту, где-то в районе 10%. Может произойти все, что угодно – конкурс могут отменить, вы можете подать не верную заявку, заказчика могут посадить, или не подписать с вами договор.

Была у меня история, на эту тему.

 

2013 год

Я с аккаунтом встречаюсь с его знакомыми из Сельхозрыбконтроля (название изменено), мы обсуждаем актуальную тему ЗПД, показываем экспертизу и получаем добро на формирование бюджета.

2014 год (первое полугодие)

В первой половине года, мы утрясаем техническое решение (что б ни шибко дорогое, но и полезное было). Возим к заказчику железки на тест, через что столбимся у вендоров. Согласовываем бюджет на обследование и проектирование, пишем ТЗ, готовим обоснование НМЦ, конкурс объявляется.

2014 год (второе полугодие)

В конкурсной документации обнаруживаются чужие закладки. Где-то в отделе закупок сидел человек ЦБИ, который дописал в ТЗ:

  • Наличие не менее 14 кандидатов и докторов наук (из них не менее 10% докторов);
  • Какая-то устаревшая лицензия, которая уже не использовалась, но у ЦБИ еще действовала.

Охерев от такой наглости, и идентифицировав ЦБИ, стали устранять последствия. На основании невалидности лицензии получили право скорректировать ТЗ,  чуть изменив смысл. Стало:

  • Наличие не менее 14 кандидатов и докторов наук.

На конкурс пришла Информзащита, ЦБИ и мы. Но т.к. наша цена была в два раза ниже НМЦ, мы выиграли.

Тут к нам прибежал товарищ Грифов (фамилия изменена) из Информзащиты (на тот момент руководитель целого Департамента), и стал гнуть пальцы, что это всю жизнь был его аккаунт и он нас щас всех здесь уроет: проект мы не сдадим, в черный список попадем, и еще денег останемся должны.

Сам товарищ Грифов в заказчике в 2013-14 годах не был, а за место него была его помощница, которая один раз всего и приехала. Разумеется, всучивать Континент (кстати, что у Сельхозрыбконтроля аллергия на Континенты, господин Грифов не знал).

Но, нас простили, т.к. сумма оказалась совсем не серьезной для такого большого человека.

2014 год (конец года)

Мы сдали работы, и на остатки стали проводить первую часть закупки. Закупка была в виде аукциона, на который пришла Информзащита в виде товарища Грифова. Там товарищ Грифов доопускался до своих минусов, и уже приближался к отметке, когда поставка будет неинтересна нам. Как понятно, крайним окажется заказчик.

Утрясли, мы выиграли.

2015 год

Весь год согласовываем вторую часть поставки и конкурс на внедрение. В проекте и ТЗ – Imperva и С-Терра (реально лучше подходили под архитектуру заказчика, зря, что ли тестили?).

В сентябре происходит вторая часть закупки, после которой должен быть конкурс на работы. Мы сидим в ус не дуем, и тут вылезает Информзащита. Товарищ Грифов пришел со связкой Гарда БД + Континент. При том, пойдя на прямой подлог и обман, заявив, что Гарда имеет сертификат (его тогда не было), по пусти банально неправильно заполнив заявку.

Сельхозрыбконтроль не стал топить Информзащиту (иначе бы они попали в черный список, а заказчик бы под проверку) и дал Информзащите выиграть при условии, что они все это внедрят.

Конкурс на внедрение выигрывает Информзащита… и не может его реализовать (черный список again). Проколупавшись до конца года, конкурс решили аннулировать и переиграть.

2016 год

Переобъявили конкурс на внедрение. Пришли — Информзащита и Андэк. Вы спросите, херли там забыл Андэк? Пока Информзащита колупалась, выяснилось, что Грифов серьезно прокинул МФИ Софт через детородный орган – заставив их внедрять бесплатно (а там было 5 площадок в разных концах страны), обозвав это стендированием и входом в заказчика. Плюс к этому навесив на них интеграцию со сторонним ПО. Разумеется, на адекватных условиях (за деньги) МФИ Софт был согласен работать с Андэком.

Играется конкурс… и Информзащита падает ниже своих костов. Как говориться, рука-лицо.

 

Насколько я знаю, проект так и не был завершен. Заказчик зарекся заниматься ИБ. МФИ Софт, так ничего и не заплатили. Господин Грифов еще долго работал в Информзащите, но уже не начальником. А персональные данные, так и остались незащищенными.

Так, что от тупых пидарасов, вас не защитит ни какое ТЗ. Всего вам доброго.

Сертифицированная Windows для ЗПД

Как мне тут правильно подсказывают – слишком много Лукацкого в ленте. Но что делать? Если Алексей у нас главный ньюсмейкер. Но желание публики – закон. Поэтому слушайте историю про персональные данные.

Позвонил мне хороший друг, начальник поибэ в немаленьком банке. И говорит – «Димон, я тут СЗПДн инвентаризирую. ИТ-шники хотят нам передать на баланс, помоги разобраться, что нужно, а что нет.»

Через матюги с шутками, выяснилось, что 3 года назад компания SoftLine сделала им систему защиты персональных данных. Сроки поддержки все вышли, а с купленными СЗИ надо что-то решать. И самый большой вопрос встал по сертифицированной винде. И проблема не в том, что решение просто купили и не внедряли. Вопрос – как все так сделать, что бы хоть как-то было похоже на правду.

Хоть я сам не брал сертифицированной винды в руки уже пару лет, пришлось стряхнуть пыль с закоулков памяти.

Преамбула заключается в том, что сертификацией винды у нас занимается одна компания «СИС» или «Сертифицированные информационные системы». Процедура следующая – вы отсылаете заявку в СИС или дистика (который все равно делает все через СИС), прикладываете денюжки, дистрибутив и подтверждение легальности приобретения продуктов Microsoft (думаю, мало что в процедуре изменилось).

Самая засада с дистрибутивом, он должен быть на диске. Нет диска, вам сертифицированной винды не видать. Все это уезжает на 2 недели в СИС (или 6-8 недель, если через дистика), и приезжает обратно к вам с комплектом бумаг и еще каких-то дистрибутивов.

Если заглянуть в прайс-лист (о, чтение прайс-листов – отдельное искуство), то глаза разбегаются и нихера не понятно, что же надо взять, что бы нормально сертифицированную винду приобрести.

Запоминайте.

Гайд по ориентированию в прайсе сертифицированной винды

Предположим, вам надо установить сертифицированную винду на вменяемое количество машин, хотя бы 10-15. Если у вас меньше, можете смело лишние пункты почикать.

  1. Находите нужную версию винды (обычно на 1 поколение назад от текущей версии, например, 10 сертифицировать нельзя) в прайсе, и выбираете Базовый пакет для сертификации. Можно взять и Полный пакет, но я за 5 лет отличий шибко не уловил, да и попал один раз. Была у меня спецификация (в январе сделанная, ага), а как до закупке в ноябре дошло, так мне не смогли полную версию отгрузить. Сертификат тютю, просрочился. А у меня госконтракт.

Берем по количеству машин.

  1. Вам необходима лицензия на контроль сертифицированной версии ОС. Это такая приблуда, которая проверяет установленную версию винды на отклонения в настройках. Так же берете по количеству машин.
  2. Лицензия модуля анализа уязвимостей. Хз, как щас. Раньше ее не было, или была, но не нужна была. Для меня это позиция для выкачивания денег.
  3. Обязательно не забудьте про сертифицированный ключ для получения обновлений. Хватит 1 шт.
  4. Дальше пойдут у вас непредвиденные расходы. Вы для чего винду берете? Для аутентификации в основном, чтобы не городить секретнеты с далласлоками. А что у нас является главной дырой на локальной машине? Локальный админ. Вроде без него никуда, если что. А кто выше локального админа? Доменный админ. Очевидно, что чтобы не бегать и не менять раз в месяц пароли локальных админов, сертифицированная винда должна быть в домене. Так же очевидно, что она должна быть в своем домене, обычный не подойдет. Смело записывайте в спеку 3 штуки серверной Windows. 2 под контролеры домена, 1 под WSUS (или как он там щас называется?).

Кстати, именно в WSUS воткнете свой ключ для обновлений.

  1. Но и это еще не все. Т.к. вы поставили серверную составляющую, будьте добры купить лицензии на клиентский доступ. От такой наглости бюджетодержатели вконец охуевают, и можно купить и без них. Да, и сами сотрудники СИС и дистиков не всегда в курсе темы, но судя по всему лицензии на доступ покупать надо. У меня и письмо где-то было от Microsoft. Главный камень преткновения – сколько комплектов лицензий брать 1 (на всех) или 3 (по количеству серваков). Тут уже насколько бюджета хватит.
  2. А, если совсем денег девать некуда – то можете поставить себе еще NetCheck. Это то же самое, что Check (см. пункт 2), но по сети.

 

А, как получите все добро, можете начинать устанавливать по официальным правилам :) Но это уже другая история.

Понравилось про прайсы? Пишите в комментариях.

Как зарабатывать на ЗПД

Просматривал я сегодня фейсбучек и зацепился взглядом за одно резюме.

b-152-hh

Оказалось, это мои старые знакомые из Б152 набирают людей. Привет, Максим!

Вот все думают, что я людей засираю, чтобы получить дешевого пиару (привет, Алексей!). Но цели мои гораздо прозаичнее: я просто хочу сделать мир лучше. И, на мой взгляд, этого точно нельзя добиться, расцеловывая друг друга в десны.

Ребята из Б152, видимо, прочитали мои прошлые заметки. Теперь все хорошо. Теперь на сайте по продаже комплектов шаблонов нет цен.  Я думаю, они даже поднялись с 49ти тысяч раза в два. Появился большой простор для бизнеса, а также маркетинговых акций – «Два комплекта по цене одного» или «Успей заказать до полуночи и получи скидку 90%».

Но мое внимание привлекла вакансия. Что же предлагают нам за 60-100 тысяч рублей (кстати, это белая?)? Нам предлагают работать в компании, которая уже продала своих продуктов 6 000 заказчикам. Матерь божья! Если это правда, то это реально круто. Например, у Кода безопасности всего 32 000 заказчиков (кстати, если перейти по ссылке, то увидим всего 23 000… хотя там написано более, но нельзя же так редко сайт обновлять…).

32000 предприятий

32000 предприятий

23000...

23000…

При том, что это крупный вендор, и фактически стандарт во многих областях.

Т.е. Б125 компания крупная. С кем же она работает? Мне нравится фраза «компании уровня Philips, EY, Henkel». Т.е. мировой лидер рынка аудиторства и комплайнса заказывает шаблоны документов за 49 тысяч рублей? Если это правда, это очень круто. К сожалению, в отзывах на сайте про EY ни слова. Надо срочно получить эти отзывы, так как более мощного пиара придумать сложно. Остальные заказчики обычные, скажем, фриланс.ру. Большой сайт, но никаких персданных внутри на сайте нет, значит, использовали для бухгалтерии/кадров.

Оки, компания крупная.

Что надо делать? Продавать уникальные решения. Это комплект шаблонов по ЗПД и мониторилка сайта, которая недавно еще и не работала. Сейчас работает, я даже заказал мониторинг моего уютненького бложика.

siteSecure

Т.е. по факту 5 из 6 проверок делается вообще бесплатно на любом SEO сайте. И если сервис автоматизирован, то почему мне до сих пор не пришло письмо с результатами? Как с такой скоростью продавать через веб? Интернет-магазины вон за секунды внимания клиентов бьются. Но думаю, уникальный продукт сам найдет дорогу к клиенту.

Говорят, надо искать новых клиентов, но одновременно работать с базой. Новых. С базой. На мой вопрос в комментариях о наличии холодных звонков ответили утвердительно. Это финиш, что сказать. По факту надо нанять таджиков, дать им справочник юрлиц и платить по 10% с каждой сделки. Продавать b2b по холодным звонкам – это за гранью.

Кстати, а что продается за рубежом? Кто тот чудо продавец, что наладил экспорт ЗПД?

По зарплате. Не указано, 60 тысяч – это оклад? Или это возможный доход, если вы продадите 100 проектов по 49 тысяч рублей, и мы дадим вам бонус?

В заключение место работы. По сути это коворкинг ФРИИ. Т.е. Б125 снимает койко-стол за 20 тысяч рублей, нагоняет туда домохозяек, обучает по шаблону, что надо говорить, и отпускает в свободное плавание по рынку.

Вместо вывода. Кто из серьезных b2b-сейлов пойдет на холодные звонки за оклад в 20 тысяч плюс премия — я не знаю. Чтобы отбить свою зарплату (сюда входит зарплата основателей, коворкинг, телефон и все накладные расходы), надо делать по 10+ продаж по 49 000. Это 120+ продаж в год. Или 1 продажа в два дня. Те, кто работает в b2b знают, что иногда продажа может длиться годами. Плюс никто не отменял закупочных процедур, а они времени съедают немало.

 

P.S. Мой отчет так и не пришел. По результатам сообщу.

Стандарты по ИБ – лучше ли книга?

Если вы хоть как-нибудь соприкасаетесь  с современной культурой, то должны были слышать выражение «книга лучше». В общем смысле ее применяют к экранизации книг в виде фильмов, реже мультфильмов, аниме и манги.

Тяга к знаниям

Корень этого феномена очень прост – гениальность источника. Что интересно, лучшие экранизации происходят по довольно средним и проходным книгам, в которых читателю не хватает собственной фантазии для визуализации. И, разумеется, кино как жанр имеет кучу ограничений. Основные из которых — время картины (как впихнуть 600 страниц в 2-3 часа?) и невозможность визуализации мыслей и текста рассказчика (конечно, можно заменить закадровым голосом… но будете ли вы это смотреть, если зачитаю 3 страницы вместо двух предложений?). Тему можно развивать и развивать, но пока этот блог об информационной безопасности. Поэтому перейдем к ней.

Что неудивительно, в нашей поибэ тоже есть место фразе «книга лучше». Смотрите, вся нормативка, по которой мы работаем – это «книги».  Когда книги объединяются в серию, у нас появляется стандарт или группа стандартов. Например, СТО БР или ISO.

В этом случае экранизацией будет конкретная реализация положений стандарта и совокупность подобных реализаций. Например, все проектов по PCI DSS.

Осталось разобраться с понятием «лучше». Тут все просто как и с обычными книгами. Если стандарт большой и красивый, а реализовывают его криво и косо – «книга лучше». Но если стандарт неказист, а из него делают конфетку (во всех смыслах – от полноты реализации до количества выделяемых денег), то – «книга хуже».

Самые внимательные из вас заметили, что есть еще и вариант равнозначности (одинаково плохо, или хорошо, или не очень хорошо). Эти варианты редки, и мы ими пренебрежем.

Смотрите, что у меня получилось:

  • PCI DSS. Книга лучше.
  • ISO 27001. Книга лучше.
  • ISO Книга лучше.
  • ITIL. Книга лучше.
  • СТО БР ИББС. Книга лучше.
  • 382-П. Книга хуже.
  • Персональные данные. Книга хуже.
  • Защита коммерческой тайны. Книга хуже.

Можно заметить, что большинство лучших книг довольно скрупулёзно прописаны. Остается всего делов-то — внедрить кучу шаблонных бумажек, как в ISO 9001. Другое дело – родной ЗПД. Две статьи и море творчества.

Удачи вам.

Начало положено, начинаю мостить дорогу в ад

С легкой подачи Евгения Полянского и Владимира Овчарука заделался тренером. Все произошло довольно спонтанно. Евгений позвал меня на семинар «ЗПД — распространенные ошибки», на что я ответил, что три дня назад прочитал такой же.

Слово за слово, и вот — уже в этот четверг у меня первый семинар по теме «Типовые ошибки ЗПД». В программе:

  • Типовые ошибки при организации защиты персональных данных.
  • На чем все валятся при проверке?
  • Баланс между мерами защиты и деньгами.
  • Проверка: как это происходит в реальности.
  • Стратегии прохождения проверок (hint: включая нашего «нового» регулятора).

И просто общение на всякие интересные темы. Чувствую, гореть мне в аду вместе с другими бизнес-тренерами :)

Эксперт на примере Алексея Волкова

 

Инструкция Роскомнадзора для сотрудников и экспертов при проведении проверок в области персональных данных (Секретно) Часть №2.

Нашим специалистам удалось восстановить еще одну часть документа.

Общие положения

  1. Совершенно секретноКаждый сотрудник Службы должен знать законодательство Российской Федерации, положения Кодекса об Административных правонарушениях, положения Гражданского Кодекса, положения Трудового Кодекса и других нормативных актов, чтобы свободно ими оперировать в ходе проведения проверки.

 

  1. На проверку возьмите с собой:
    • Блокнот вопросов по проверке (БВП), где отразите дату, наименование оператора и ключевые вопросы.
    • Ручку.
    • Стикеры.
    • Что-нибудь перекусить.
    • Хорошее настроение.

 

Проведение выездной проверки

  1. Всегда приезжайте вовремя, если Ответственного еще нет – прорывайтесь внутрь. Это создаст необходимое настроение в Операторе.
  2. Если Ответственный на месте, попросите провести экскурсию по офису. Скорее всего, он ночевал на работе, и кофеинового заряда ему надолго не хватит. Он будет ошибаться.
  3. Если чувствуете в Ответственном и его команде признаки усталости, расскажите немного о нашей Службе и целях проведения проверок, о вашей собаке. Выматывайте оппонента. Проверка длится минимум 10 дней, куда спешить?
  4. Когда будете на экскурсии, обязательно смотрите по сторонам, обратите внимание на видеонаблюдение, систему контроля доступа и т.п. Если увидите сканер отпечатков или сетчатки глаза – бинго!
  5. Узнайте больше о производственных процессах Оператора. Это может быть и просто интересно — побывать в ЦУПе или на атомной станции. Если там используются персональные данные, пометьте себе в БВП, чтобы проверить их отражение в документах.
  6. Когда вы составили первое впечатление, можно приступать к проверке. Зайдите в отведенную вам комнату, если это хорошо вентилируемая переговорка с кофе-машиной – оператору плюс в карму.

 

Проведение документарной проверки

  1. Если вам досталось проведение документарной проверки, не расстраивайтесь. Радость выездной проверки достается лучшим из лучших. Работайте усерднее и вас обязательно заметят.
  2. Документарная проверка требует точности. Не ошибитесь в названии или реквизитах Оператора. А то придется начинать сначала.
  3. Разошлите Уведомление всем Операторам из вашего списка. Обязательно завяжите переписку в Приложениях к Уведомлению – Ответственные тоже люди, и им хочется поговорить.
  4. Если у вас плановая документарная проверка, то запрашивайте документацию как можно более обще. Используйте расплывчатые фразы и обобщения. Например, «в соответствии со статьей 1911 Подзаконного внутреннего секретного постановления, необходимо представить документы, регулирующие обработку персональных данных».
  5. Если вы запрашиваете документы в связи с жалобой субъекта персональных данных или по другим веским основаниям, не стесняйтесь использовать положения пункта 004. Если Ответственный пришлет документы – он душка, если нет — минус в карму. Мы же одно дело делаем.
  6. Получив документы, внимательно сравните даты отсылки уведомления и изменений к ним, даты утверждения документов, даты приказов и т.п.

Неожиданный конец документа

«Ранние Пташки» — найти и обезвредить, или особенности стартапостроения в ИБ

Вторник выдался особенно жарким на всякие мероприятия. Еще месяц назад я зарегистрировался на презентацию нового вендора и буквально за пару дней до начала узнал о проведении мероприятия для стартапереров, где будет выступать Алексей Лукацкий. Как давний фанат Алексея я не мог этого пропустить. Я посетил оба мероприятия.

В 9 утра я был в районе метро Курская на «Early Birds: стартапы в сфере информационной безопасности», которое было организовано платформой для запуска стартапов tech и фондом ФРИИ. Все было в новом для меня формате завтрака – тортиком тебя угостят, а за кофе платишь сам. Чтобы не быть белой вороной, я расчехлил одну из своих «гениальных идей». А вдруг получится найти деньги?

startup

Страхи от Алексея Лукацкого

Но сначала о выступлениях. Их было два. Алексей рассказал о своей поездке на конференцию RSA. Про тренды было интересно послушать, но все это не про нас. Мы в лучшем случае доберемся до этого года через два-три, а к тому времени уже половина трендов сойдет на нет, и появится что-то новое. Пусть другие набивают шишки (ну и зарабатывают, конечно).

Единственный дискуссионный вопрос был в драйверах для старт-апов. Алексей выделил три: Страх, Compliance и Экономика. Видимо, не хватало пунктов для классических «трех пунктов и семи шагов», т.к. два последних входят в понятие Страх. Страх — вещь универсальная, напугай клиента и продай. Так продается все — от косметики и дорогих аксессуаров («без этого ты будешь страшным уебищем и жизнь твоя будет горька!») до компьютерных игрушек («ты одинок и ешь доширак? В нашей игре ты будешь богом с кучей друзей!»). Разумеется, безопасность эксплуатирует страх. А вот дифференцирование страхов и есть поле для старт-апов. Видимо, Алексей решил не раскрывать всю подноготную бесплатно.

Пикирующий бомбардировщик Максима Лагутина

Вторым выступал Максим Лагутин. Как выяснилось – это основатель успешного стартапа по персональным данным B 152 и сканированию сайтов SiteSecure. Правда SiteSecure сейчас не работает. Максим узнал о персональных данных три года назад, и с помощью самообразования и статей в интернете сделал комплект документов, который стал продавать за 49 000 рублей. Вообще идея, лежащая на поверхности. С 2009 года ко мне регулярно обращались с подобным предложением – сделать коробку за чутка денег. Как человек честный, я не мог умолчать о сложностях и затратах на такую коробку, после чего тема загибалась.

SiteSecure

Продавать документы за деньги – крайне бесперспективно. Через пару продаж их сольют в интернет. После того, как я сделал комплект для Минздрава, где я только не встречал свои документы. Да и в тех же платных комплектах (Максим тут далеко не первый). Кстати, наши мастодонты тоже пробовали продавать документы. Если не путаю, там участвовали и Алексей Лукацкий с Михаилом Емельянниковым. Но и у них не взлетело. Кстати, чутка погуглив, доки B 152 я нашел.

Но надо признать, что Максим молодец – у него более 200 пройденных проверок по персональным данным. Правда не понятно, кто ж у них занимается персональными данными? На сайте всего две персоны:

Олег Михальский

Основатель, постоянный консультант, специалист по маркетингу и продвижению решений (выделение автора) в области информационной безопасности

Активно помогает проекту «Б-152» расти, развиваться и налаживать партнёрские связи. Имеет опыт работы на рынке информационной безопасности более 15 лет. В разное время занимал руководящие должности в следующих компаниях: «Лаборатория Касперского», «InfoWatch», «Acronis». Помимо солидного опыта, отличное образование, полученное в ИКСИ АФСБ, ВАВТ, ВЗФЭИ и АНХ ( это четыре вышки или одна? Пожалели места для полных названий).

Интересно, Acronis позволяет своим менеджерам иметь бизнес на стороне? Я так понимаю, большинство клиентов Олег нашел на основной работе.

Максим Лагутин

Руководитель проекта, специалист по информационной безопасности

Возглавляет команду «Б-152», занимается стратегическим планированием, развитием сервиса и работой с партнёрами.
Имеет профильное образование и опыт работы в сфере информационной безопасности более 3-х лет (где, если не секрет?). На данный момент обучается в RMA по программе MBA «Менеджмент в сфере интернет-технологий» (а почему не риски или что-то профильное?).

 

Т.е. один крупный руководитель и еще один стратегический управленец. Как-то сильно попахивает на бессовестный пиар без реальных дел. Анализ клиентов, правда, ничего не дал. В бизнесах с такой маленькой клиентской ценой надо иметь огромный охват. Если ребята помогли пройти 200 проверок, то клиентов у них должно быть как минимум 20 000 (в среднем под проверку попадает 1% и менее операторов).

Слоган: Данные организации уже решили вопрос соответствия ФЗ-152 «О персональных данных». Они уже не беспокоятся о возможных штрафах по данному закону.

Люди разбирающиеся заметят, что в услугах, оказываемых Олегом и Максимом, не хватает еще очень много, чтобы «не беспокоиться о возможных штрафах по данному закону». Тут одним шаблонным комплектом ОРД не отделаешься. Кстати, думаю, регуляторы взяли B 152 на заметку.

Желаю парням удачи.

8 поленьев.

Про старт-апы

Ни к кому из инвесторов я не пошел. Во-первых, они были все заняты. Во-вторых, инвесторы хотят много (в смысле доли), а предлагают исчезающе мало (хотя бы в смысле денег). У нас инвесторы не готовы вкладываться в доли менее 50%, соответственно несут им проекты, которые зарабатывают миллионы вместо миллиардов.

Вообще, я с подозрением отношусь к старт-апам. В чем суть старт-апера? Создать шумиху, сделать красивый сайт и продаться инвестору. Для старт-апа, в отличие от бизнеса (даже начинающего), не важна прибыль. Тут любые твои просчеты могут быть поданы в выгодном свете в совокупности с просьбой дополнительных инвестиций. Вы сами можете это увидеть на примере многих известных компаний в нашей области.

startup-fail

Для того чтобы открыть бизнес, необходим канал продаж и/или заказчик. Как видим, тут особо нет места инвестору (тем более за 50% долю). Поэтому такой большой процент сбитых летчиков, т.к. в первую очередь важны продажи. Помнится, как-то Андрей Янкин прислал информацию о компании его друзей для рассмотрения их в качестве привлечения на субподряд. У парней на 5 человек было 8 CCIE. Матерь божья, эти пять парней были умнее многих крупных интеграторов. Но они искали субподрядных работ… потому что для бизнеса мало технической квалификации, надо еще уметь продать эту квалификацию. Возняк так бы и остался рядовым инженером, не познакомься он с Джобсом.

Поэтому с опаской отношусь к старт-аперам, тем более тем, кто является «заслуженным старт-апером». По-моему, тут уже выступает на первое место тусовость, желание быть модным, а не дело. Два часа пролетели незаметно, и я поехал к Михаилу Романову.

Поесть у Михаила Романова

Я думаю, многие знают Михаила. Это личность значительного масштаба, отбрасывающая заметную тень на наш рынок. Я познакомился с Михаилом, когда он толкал в гору сертификации StoneSoft. После всем известных событий Михаил пропал на пару лет. Оказалось, что он не сидел, сложа руки, а пилил новый продукт SafeInspect в лоне новой компании «Новые технологии безопасности».

Название, на мой взгляд, немного претенциозное. Но какой разительный контраст в подходах в сравнении с B 152! Главное — продукт, а мишура потом. Сайт еще несколько недель назад выдавал ошибки, и был полупустой (кстати, плюс в карму за использование Drupal). Минимальная функциональность со средоточием на главном. Уважение.

Пересказывать презентации и демонстрации смысла мало. Конечно, подготовиться можно было бы получше. Ну не надо вызывать к микрофону технических специалистов. Их задача — отвечать на специализированные вопросы, а не читать презентацию полчаса. Это совершенно другой навык, не требующий глубокой компетенции.

Ну, и как любой бомжующий блогер, я не мог обойти вниманием стол. Вообще, думаю, что если б не конференции, то писаки вроде меня умерли бы с голоду. Устроители конференций, не забывайте про пишущую братию вообще, и про меня любимого в частности! Приглашайте почаще. :)

Поесть было богато, Михаил к этому очень трепетно относится. Так что всем рекомендую становиться его партнерами, голодными не останетесь.

А у меня за этим все. Всего самого доброго.

3 полена.

 

P. S. Что-то понравилось мне чужие сайты читать, заделаю рубрику а-ля Бизнес-Линч. Буду читать сайты по ИБ. Кто предложит нормальное название?

 

КЦД – святая троица безопасности? Или MaxPatol апостол всея безопасности

Так получилось, что целые выходные лежал мой сервер с сайтами. Ждали, когда техподдержка выйдет на работу в понедельник. Сидел я и думал об информации. Я ведь безопасностью информации занимаюсь етить растудыть, так что к ентой самой информации имею самое прямое отношение. Во всяком случае, это нам, безопасникам, так кажется (а мы не крестимся).

Holy_Spirit_IB

И, вот, сижу я и думаю – «Риски доступности информации, реализовались, что привело к ущербу…» Так, стоп. Что там говорит теория про информацию? У информации есть три свойства – конфиденциальность, целостность, доступность. Есть еще куча, мне, например, очень уж нравиться неотказуемость. Святую троицу я изучал по буржуинскому ISO, а там еще куча свойств. Хотя некоторые утверждают, что любое свойство можно выразить через КЦД – нашего отца, сына и святого духа. Но об этом как-нибудь в следующий раз.

Сижу значит, и думаю, а как там с доступностью? Наверняка тоже по трынде пошла. Базы покорежились, восстанавливать надо. Зато с конфиденциальностью полный порядок, никто мою информацию не узнает, т.к. доступа к ней нет. Зато узнают, что она недоступна. Но это другое.

Помните, когда-то был «приказ трех» по персональным данным? Алексей Лукацкий тогда на каждом углу говорил, что у нас нет типовых систем, а есть только специальные, т.к. надо обеспечивать еще доступность и/или целостность окромя конфиденциальности. Тогда все было красиво, действительно целостность и доступность важны.

А на практике? А на практике выходит, что безопасник может воздействовать только 1 одно свойство, максимум на 1¼. Например, мы ни как не можем воздействовать на доступность. Во всяком случае, на доступность информации в информационных системах. Т.к. это чисто айтишная тема, если системы не работают – никакой безопасности не надо. Что мой случай наглядно и показал. Нет системы – нет проблемы. Можно сказать даже больше – безопасники вредят доступности. Все эти наши железки, ставящиеся в разрыв, или хитрый софт обогащающий пакеты идентификаторами и метками. Все это для ИТ службы черный ящик и дополнительная точка отказа. В одном крупном банке воткнули железку по обогащению трафика, так она на 2 часа всю сеть и положила. В общем, с доступностью мы не помогаем, и даже вредим.

Целостность. Тут уже выправляем положение. Тут мы можем обеспечить неизменность документа. Круто. Возьмем, засунем все в криптоконтейнер, или цифровой подписью подпишем, и контрольную сумму сосчитаем. Как уже понятно, при крахе документа мы ничего сделать таким способом не можем. А если злой админ сотрет секретный ключ, то и вообще все документы похерятся. Таких случае уже больше десятка. Ну, не обладают безопасниками средствами восстановления информации. Вот, если вытащить чего удаленное – это да. А если база данных полетела, и потерялась часть полей – это нет.

Конфиденциальность. Это, вот, наше все. Любимый отец всея безопасников, скрыть, спрятать, никому не показывать. Понятно, что лучшую конфиденциальность можно обеспечить в отрезанной от внешнего мира, а лучше в неработающей системе.

И обрел я просветление. Все средства безопасности направлены лишь на одно, на сохранение конфиденциальности, путем низложения остальных двух свойств. «Ну как продукты Positive Technology, которые написаны, словно вся ЛВС предназначена только для них» (с) CISO банков топ-5. И в этом суть, зарытое в землю, не может быть взломано.

Всего вам доброго.

Инструкция Роскомнадзора для сотрудников и экспертов при проведении проверок в области персональных данных (Секретно) Часть №1. Выездная проверка

Общие положения

    1. Каждый сотрудник Службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Служба) обязан быть готов провести выездную и документарную проверку Операторов персональных данных в любое время, 365 дней в году.

Совершенно секретно

    1. В ходе проверок необходимо руководствоваться положениями Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) (далее – Закон), внутренними инструкциями Службы и здравым смыслом…

 

  1. Так же Сотрудник Службы должен проверять исполнение Закона во всех проявлениях гражданской жизни у юридических лиц и индивидуальных предпринимателей, с которыми сталкивается по вопросам бытового получения товаров и услуг. В случае выявления признаков нарушений, следует воспользоваться Инструкцией №1 по формированию плана проверок.

Проведение выездной проверки

    1. Если вам выпало проводить выездную проверку, расслабьтесь. Посмотрите, привлекаются ли аккредитованные эксперты? Если да – хорошо, они братюни и можно будет хорошо провести время. Если нет, не отчаивайтесь – повезет в следующий раз.
    2. Хорошенько выспитесь.
    3. Перед проверкой распечатайте последнее уведомление об обработке Оператора.
    4. Если в уведомлении указан один юридический адрес, а Оператор находиться совершенно по другому адресу – смело езжайте по первому. Будьте внезапным. Это заставит понервничать ответственного у Оператора. Приятная поездка на другой конец Москвы плюс легальный выходной. Помните наш девиз № 42: Служба в радость!
    5. Вы на месте, внимательно посмотрите, кто пришел со стороны Оператора. Если он пригласил – юриста, консультантов и того парня, чей блог вы иногда читаете, значит, ему есть что скрывать. Не паникуйте! Вы тут главный.

 

  1. Сразу запросите весь перечень проверяемых документов в электронном виде. Если ответственный их предоставляет – он душка, плюс в карму. Если нет, то подумайте, что делать с таким букой. Может быть дать ему печеньку?
  2. Попросите Ответственного перечислить ИСПДн с персональными данными. Если среди них нет:
    • Бухгалтерской;
    • Кадровой;
    • Системы контроля доступа;
    • Электронной почты;
    • Домена Active Directory (при наличии ).

Внимательно к ним присмотритесь.

    1. Спросите, есть ли биометрия?
    2. Потролльте ответственного вопросом о видеонаблюдении. Если ответ оригинальный – запишите в книжечку для размещения на нашей Доске крутых отмазок (ДКО).
    3. Проверьте актуальность уведомления и всех данных в нем представленных.
    4. Посмотрите, кто делал документы по защите персональных данных. Если лицензиат – попросите договор. Если сами – попросите документы о соответствующей подготовке или переподготовке (минимум на 2 человек).
    5. Посмотрите на дату последнего отчета об обследовании. Если ей больше года, мы красавчики. Если меньше, ответственный – красавчик.
    6. Если у Оператора есть самописные или самостоятельно дописываемые системы (1С, SAP, SharePoint, сайт и т.п.), обратите внимание на решение вопроса с НДВ. Если угроза НДВ нивелирована, послушайте объяснение. Если оно хорошее, запишите для добавления в ДКО.
    7. Не будьте букой.
    8. Если Оператор использует облака, мы в Эльдорадо. Если облако зарубежное, то в Эльдорадо-плюс-плюс. Сразу напишите смс коллегам во ФСТЭК и ФСБ, они должны это увидеть.
    9. Посмотрите договор на использование облака. Попросите показать вам пункты отвечающие за безопасность вообще, и безопасность персональных данных в частности. Попросите копию договора. Ну, а, вдруг?
    10. Посмотрите модель угроз. Если много неактуальных угроз – выберите наугад 3 и попросите объяснить. Лучшие ответы запишите для ДКО.

 

  1. Посмотрите проект на систему защиты персональных данных. Если с вами нет братюнь-экспертов или коллег из ФСТЭК или ФСБ, вам нельзя оценивать технические меры – печалька. Зато можно выписать используемые средства защиты.
  2. Попросите акты установки на все используемые средства защиты.
  3. Послушайте и запишите лучшее, почему вы этого не можете получить.
  4. Не будь букой.
  5. Попросите сертификаты ко всем используемым средствам защиты.
  6. Послушайте и запишите лучшее, почему этого нет.
  7. Не будь букой.
  8. Переходите к осмотру помещения…
Неожиданный конец документа
Найдены новые фрагменты… Сканирую… распознаю