четверг, 26 апреля 2018 г.

Хочу купить, а что - не знаю. (Размышления субъекта КИИ)


            Все ближе момент времени, когда субъекты КИИ начнут просчитывать бюджеты на создание систем безопасности значимых объектов КИИ. Далее последуют конкурсные процедуры на закупку технических средств защиты информации и на проектирование систем безопасности. А значит, остро встает вопрос - какие требования установлены законодательством для технических средств, используемых для создания систем безопасности значимых объектов КИИ. Производители и вендора уже начали выводить на рынок комплексные решения для выполнения требований 235 и 239 Приказов ФСТЭК, а так же для совместной работы с ГоСОПКой. Целью данной заметки является формирование предварительных требований к поставщикам в рамках конкурсных процедур,в  полном соответствии с законодательством РФ.

среда, 25 апреля 2018 г.

Полезное и интересное с "CISO FORUM 2020: взгляд в будущее"

     Принял участие в конференции "CISO FORUM 2020: взгляд в будущее". Конференция длилась 2 дня, которые для меня распределились следующим образом:

понедельник, 23 апреля 2018 г.

Тук-тук, эпидемиолога вызывали?




           Часто сталкиваюсь в процессе общения (личном и в интернете) с представителями различных организаций- потенциальными субъектами КИИ по теме реагирования на компьютерные атаки с тем, что существует непонимание роли ФСБ и ФСТЭК в повышение защищенности объектов КИИ.

пятница, 20 апреля 2018 г.

Подскажите, а я субъект КИИ?


           Основные вопросы, который сейчас задает себе руководитель любой организации в РФ, если он в курсе новинок законодательства: "Обязан ли я выполнять требования 187-ФЗ"? Или по другому: "моя организация - это субъект КИИ?" И вопрос "как мне определять объекты КИИ у себя?".

четверг, 19 апреля 2018 г.

Уголовная ответственность за нарушение правил эксплуатации КИИ

Начало:
Часть 1 https://valerykomarov.blogspot.com/2018/04/blog-post_16.html
Часть 2 https://valerykomarov.blogspot.com/2018/04/blog-post_36.html
            Как ни странно, но органы Прокуратуры РФ очень активно информируют граждан об изменениях законодательства в области обеспечения безопасности КИИ. Это к вопросу о том, что субъектам КИИ надо интересоваться не только мнением ФСТЭК и ФСБ, но и Прокуратуры.

среда, 18 апреля 2018 г.

Уголовная ответственность за нарушение правил эксплуатации. Реалии.




В первой части https://valerykomarov.blogspot.com/2018/04/blog-post_16.html мы подвели теоретические итоги анализа Ст.274 УК РФ:
1.Занимается МВД.
2.Ответственность с 16 лет.
3.Наказывают за нарушение правил эксплуатации, которые направлены на обеспечение ИБ. Выборочно, не за все. Необходимо доказывать прямую связь нарушение -ущерб.
4.Правила эксплуатации могут быть описаны в любом официальном документе, не обязательно в инструкции или регламенте.
5. Статья применяется только при нанесенном ущербе ИНФОРМАЦИИ более 1 000 000 рублей. Стоимость ущерба надо доказывать.
6. Статья " не большой тяжести". Срок давности - 2 года.

Посмотрим как это реализуется на практике.

вторник, 17 апреля 2018 г.

Итог. Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?


 
   

     I’ll be back

     Ранее был проведен анализ положений приказа ФСТЭК России "Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации" и процесса общественного обсуждения.

понедельник, 16 апреля 2018 г.

Уголовная ответственность за нарушение правил эксплуатации





         Наибольшую озабоченность у субъекта КИИ вызывает угроза уголовной ответственности по п.3 Ст.274.1 "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации". Статья новая и прецедентов ее применения пока нет.

пятница, 13 апреля 2018 г.

Классиков надо чтить



Читая на досуге  классические труды русских теоретиков, снова столкнулся с мыслью, что "ни что ни ново под луной", и "никто не хочет учится на ошибках".

четверг, 12 апреля 2018 г.

Неофициальная позиция ФСТЭК по особенностям выполнения ПП127


         
          

          Благодаря Павлу Луцику, удалось получить в неформальном порядке от ФСТЭК ответы на вопросы по нюансам выполнения субъектом КИИ ПП127 и Приказов по КИИ.

вторник, 10 апреля 2018 г.

Впечатления от Kaspersky security day - 2018


      На данном мероприятии интересовали 2 секции: КИИ и GDPR.
      К сожалению, секция про КИИ оказалось совершенно не интересной. Все ограничилось общими словами об актуальности 187-ФЗ и прочими банальными фразами. Зато публично прозвучало, что защищать КИИ нечем и некому.Отечественные производители СЗИ не готовы представить на рынок  комплексные решения по защите КИИ, а специалистов по защите информации с должной квалификацией просто единицы на всю страну. Это не новость, но хотя бы звучит вслух на таких высокоуровневых площадках в открытую.
      На секцию GDPR шел с опаской, но все оказалось очень интересным и по делу. Удалось задать вопросы публично и в кулуарах. Проектор очень специфично демонстрировал презентацию, даже глазам было больно. Так что, качество фотографий не очень.
      Фото в исходном виде - https://drive.google.com/open?id=17aTjAk2fvReR3AJVQYF9FJLH8BqG_ZYb
 Презентация в PDF: https://drive.google.com/open?id=18V_rpiookENAPAbShgHqvwciSboVQKeQ

понедельник, 9 апреля 2018 г.

ГосСОПКа, без лицензии ты преступник



    Мелодрама в двух частях.

     Часть первая. "И невозможное возможно"

   28.11.2017 Центром лицензионно-разрешительной работы Главного управления Росгвардии по городу Москве принято решение об изъятии оружия в Управлении специальной связи по г. Москве и Московской области. ФГУП ГЦСС временно приостанавливает сбор и доставку отправлений с грифом, с оценочной стоимостью свыше 3 млн. руб., вложением оружия, наркотических средств и психотропных веществ, внесенных в Список I, перевозку денежной наличности и обслуживание ПТК на территории города Москвы и Московской области. В связи с тем, что Москва является крупнейшим транзитным пунктом сети специальной связи, приостановлена доставка вышеперечисленных отправлений в населенные пункты по всей территории Российской Федерации. Информация о сложившейся ситуации доведена до Федерального агентства связи, Министерства связи и массовых коммуникаций Российской Федерации, органов Федеральной службы безопасности Российской Федерации. Межведомственной рабочей группе поставлена задача разрешить возникшие противоречия. ФГУП ГЦСС продолжает оказывать услуги, осуществление которых не связано с вооруженным сопровождением, в полном объемеhttps://www.cccb.ru/press-room/news/o-vremennykh-izmeneniyakh-v-rabote-fgup-gtsss/
     «"Спецсвязь", Государственная фельдъегерская служба и управление фельдъегерско-почтовой связи Минобороны составляют единую сеть. Выпадение из нее наших отделений останавливает нормальное движение корреспонденции»,— пояснил собеседник “Ъ”.  По закону перевозка корреспонденции и грузов с вложением сведений, составляющих гостайну, может осуществляться только вооруженными фельдъегерями, а изъятие оружия влечет за собой невозможность оказания услуг спецсвязи. При этом почтовые отправления секретных документов, а также оружия и опасных веществ запрещены для открытой пересылки, которой занимаются «Почта России» и другие операторы." https://www.kommersant.ru/doc/3502031
     Федеральное агентство связи заявило о признаках несовершенства законодательства, комментируя проверку в московском управлении спецсвязи (ФГУП «Главный центр специальной связи»), которую 30 ноября провела Росгвардия. «Нормативные правовые акты, соответствующие деятельности, осуществляемой ФГУП ГЦСС, трактуются представителями Росгвардии и представителями отраслевого сообщества по-разному. Работа по прояснению и уточнению законодательства по данным вопросам проводится в настоящее время». В материале отмечается, что московское управление спецсвязи осуществляет деятельность «в строгом соответствии с законом и в интересах безопасности государства с 1939 года». «Случаев изъятия оружия и остановки деятельности предприятия на протяжении этих лет не происходило». https://iz.ru/677960/2017-12-01/rossviaz-prokommentirovala-proverku-rosgvardii-v-moskovskom-upravlenii-spetcsviazi
        «На сегодняшний момент "Спецсвязь" не имеет возможности в связи с конфликтом (с Росгвардией.— “Ъ”) права перевозки наркосодержащих лекарственных препаратов (используются для обезболивания.— “Ъ”),— заявил на спецзаседании СПЧ, посвященном ситуации с лекарственным обеспечением в России, председатель Национального антикоррупционного комитета, член СПЧ Кирилл Кабанов.— Фактически сейчас регионы используют наркотические средства из запаса. По моим данным, возможны перебои с поставками». https://www.kommersant.ru/doc/3568394
       И самое интересное:
         В ноябре 2017 года сотрудники Росгвардии начали масштабные проверки подразделений ФГУП «Спецсвязь» по всей стране, выявив «грубейшие нарушения законодательства». В частности, согласно постановлению правительства от 12 июня 2008 года №449, охранять перевозку наркотических средств и психотропных веществ должно юрлицо, которое имеет лицензию на осуществление частной охранной деятельности. Если такой лицензии нет, то охрана должна осуществляться с привлечением подразделений войск национальной гвардии РФ или организации, подведомственной Федеральной службе войск национальной гвардии РФ.
В «Спецсвязи» “Ъ” пояснили, что ФГУП ГЦСС в этом перечне нет, а получить лицензию на частную охранную детальность предприятие не может из-за своей организационно-правовой формыhttps://www.kommersant.ru/doc/3568394

       Это реальный пример войны регуляторов между собой, при котором им безразличны последствия. На оборот, чем последствия для процессов жизнедеятельности страны сильнее, тем лучше для них. При чем здесь ИБ и ГоСОПКА спросите? Ведь, за исключением проблем с отправкой секретной корреспонденции, ничего общего.
       А связь прямая, ФСТЭК и ФСБ не могут договорится об обязательности требования о наличии лицензии на мониторинг событий ИБ для элементов ГосСОПКи. А пострадать в этом конфликте регуляторов придется субъектам КИИ. Но об этом в следующей части...
* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

четверг, 5 апреля 2018 г.

Нюансы согласования Положения о сертификации



Очень интересное заключение от Минэконмразвития. Отмечу следующие моменты:
1. Раскрыта причина такой спешки ФСТЭК с разработкой и утверждением  нового Положения о сертификации, а так же нежелание что то менять. Задача и сроки были установлены Президентом страны.
2. ФСТЭК проигнорировала часть замечаний по результатам публичного обсуждения.
3. Теперь сертификация относится к госуслугам, со всеми вытекающими последствиями для ФСТЭК.
4. Есть опасение, что повторится ситуация с административными регламентами по ПП541, которые появились через месяц после вступления  в силу новых требований к лицензиатам. Посмотрим как летом будет ситуация разворачиваться.
И очень интересно будет сравнить редакция Положения, утвержденную и зарегистрированную и проектом, выложенным по результатам публичного обсуждения.


Заключение об ОРВ исх. № 8543-СШ/Д26и от 03.04.2018 г
ЗАКЛЮЧЕНИЕ об оценке регулирующего воздействия на проект приказа ФСТЭК России «Об утверждении Положения о сертификации средств защиты информации»
Министерство экономического развития Российской Федерации в соответствии с пунктом 26 Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии, утвержденных постановлением Правительства Российской Федерации от 17 декабря 2012 г. № 1318 (далее – Правила), рассмотрело проект приказа ФСТЭК России «Об утверждении Положения о системе сертификации средств защиты информации» (далее – проект акта, положение), разработанный и направленный для подготовки настоящего заключения Минприроды России (далее – разработчик), и сообщает следующее.
Проект акта направлен разработчиком для подготовки настоящего заключения впервые. Проектом акта предлагается утвердить новый порядок осуществления процедуры сертификации средств защиты информации. Проект акта разработан во исполнение подпункта 4.1 пункта 4 протокола заседания Совета Безопасности Российской Федерации от 26 октября 2017 г. № Пр-2265, утвержденного Президентом Российской Федерации 5 ноября 2017 г., в целях совершенствования порядка сертификации продукции, используемой в целях защиты информации, составляющей государственную тайну и иной информации, подлежащей защите в соответствии с законодательством Российской Федерации.
По результатам рассмотрения проекта акта и сводного отчета о проведении оценки регулирующего воздействия (далее – сводный отчет) установлено, что при подготовке проекта акта процедуры, предусмотренные пунктами 9 – 23 Правил, не были соблюдены разработчиком в полном объеме.
Разработчиком проведены публичные обсуждения проекта акта и сводного отчета в срок с 7 марта 2018 года по 22 марта 2018 года. Информация об оценке регулирующего воздействия проекта акта размещена разработчиком на официальном сайте в информационно-телекоммуникационной сети «Интернет» по адресу: regulation.gov.ru (ID проекта акта 02/08/03-18/00078950). Замечания и предложения, поступившие в ходе публичного обсуждения проекта акта и сводного, были включены разработчиком в сводку замечаний и предложений.                   Вместе с тем, разработчиком не были представлены комментарии к ряду замечаний и предложений, поступивших в ходе публичного обсуждения.
Минэкономразвития России 26 и 30 марта 2018 г. были проведены рабочие совещания по проекту акта, по результатам которых разработчиком в проект акта были внесены изменения, имеющие низкую степень регулирующего воздействия, и доработанная редакция проекта акта была размещена на официальном сайте.
На основе проведенной оценки регулирующего воздействия проекта акта Минэкономразвития России сделан вывод о наличии достаточного обоснования решения проблемы предложенным способом регулирования.
По результатам оценки регулирующего воздействия проекта акта может быть сделан вывод об отсутствии в проекте акта положений, которые вводят избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствуют их введению, а также способствуют возникновению необоснованных расходов субъектов предпринимательской и иной деятельности или способствуют возникновению необоснованных расходов бюджетов всех уровней бюджетной системы Российской Федерации.
Дополнительно Минэкономразвития России сообщает, что согласно пункту 1 статьи 2 Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее – Закон № 210-ФЗ) государственной услугой является деятельность по реализации функций соответственно федерального органа исполнительной власти, государственного внебюджетного фонда, исполнительного органа государственной власти субъекта Российской Федерации, а также органа местного самоуправления при осуществлении отдельных государственных полномочий, переданных федеральными законами и законами субъектов Российской Федерации (далее - органы, предоставляющие государственные услуги), которая осуществляется по запросам заявителей в пределах установленных нормативными правовыми актами Российской Федерации и нормативными правовыми актами субъектов Российской Федерации полномочий органов, предоставляющих государственные услуги.
Согласно пункту 3 статьи 2 Закона № 210-ФЗ заявителем считается физическое или юридическое лицо (за исключением государственных органов и их территориальных органов, органов государственных внебюджетных фондов и их территориальных органов, органов местного самоуправления) либо их уполномоченные представители, обратившиеся в орган, предоставляющий государственные услуги, или в орган, предоставляющий муниципальные услуги, либо в организации, указанные в частях 2 и 3 статьи 1 Закона № 210-ФЗ, или в организации, указанные в пункте 5 статьи 1 Закона № 210-ФЗ, с запросом о предоставлении государственной или муниципальной услуги, выраженным в устной, письменной или электронной форме.
Таким образом, в большинстве случаев, государственной услугой  является деятельность органа исполнительной власти (местного самоуправления) по реализации функций этого органа в пределах его полномочий, осуществляемая по запросам заявителей.
Исходя из положений проекта приказа полномочие ФСТЭК России по сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, по требованиям безопасности информации, по запросу заявителей отвечает критериям государственной услуги, установленным Законом № 210-ФЗ, и может быть квалифицировано в качестве государственной услуги.
В этой связи полагаем необходимым проработать вопрос о включении в Перечень государственных услуг и контрольно-надзорных функций федеральных органов исполнительной власти, органов государственных внебюджетных фондов, Государственной корпорации по атомной энергии «Росатом», для которых должны быть разработаны административные регламенты, и информация о которых должна быть размещена в Федеральном реестре государственных и муниципальных услуг (функций) (далее – Перечень), вышеуказанного полномочия ФСТЭК России.
Обращаем внимание, что предоставление сведений осуществляется  в соответствии с методическими рекомендациями по формированию Перечня, одобренными на заседании Подкомиссии по вопросам повышения качества оказания государственных услуг и мониторинга реализации поэтапных планов выполнения мероприятий, содержащих ежегодные индикаторы, обеспечивающие достижение целевых показателей, установленных Указом Президента Российской Федерации от 7 мая 2012 г. № 601  «Об основных направлениях совершенствования системы государственного управления», при Правительственной комиссии по проведению административной реформы от  16 февраля 2015 г. № 18 (далее – Методические рекомендации).
Методические рекомендации доступны на портале административной реформы в информационно-телекоммуникационной сети «Интернет» по адресу: ar.gov.ru.
          Дополнительно сообщаем, что согласно статье 12 Закона № 210-ФЗ предоставление государственных и муниципальных услуг осуществляется в соответствии с административными регламентами.
* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

среда, 4 апреля 2018 г.

Новости для операторов связи и ОРИ

     
        В приказ ФСБ № 432 вносятся следующие изменения:
        27.12.2017 подписан и 27.03.2018 официально опубликован приказ ФСБ от 27.12.2017 № 760 «О внесении изменений в приказ ФСБ России от 19 июля 2016 г. № 432 «Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникаци-онной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» и утвержденный этим приказом Порядок» (Зарегистрирован в Минюсте 26.03.2018 № 50512).
      1. Изменяется адресат предоставления информации, необходимой для декодирования сообщений:
вместо Организационно-аналитического управления Научно-технической службы, информацию будет необходимо направлять в Центр оперативно-технических мероприятий ФСБ России.
     2. Устанавливается срок предоставления информации: «в возможно короткий срок, но не более 10 дней со дня поступления запроса».
     3. Вводится возможность направления запроса организатору распространения информации «с использованием технических средств связи, обеспечивающих подтверждение факта получения запроса».
     
   
        Приказ Министерства связи и массовых коммуникаций Российской Федерации от 26.02.2018 № 86 "Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий. Часть IV. Правила применения оборудования систем коммутации, включая программное обеспечение и технические средства накопления голосовой информации, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий" (Зарегистрирован 28.03.2018 № 50536) опубликован 29.03.2018 http://publication.pravo.gov.ru/Document/View/0001201803290001

     

        На http://regulation.gov.ru/projects#npa=76975 опубликован доработанный проект приказа Минкомсвязи «Об утверждении требований по защите сетей связи от несанкционированного доступа и передаваемой по ним информации».
       Из интересного:
       1. Добавился пункт «В случае, если сети связи и (или) узлы связи отнесены в установленном порядке к значимым объектам критической информационной инфраструктуры, оператор связи принимает дополнительные меры по защите сетей связи и (или) узлов связи, предусмотренные действующими нормативными актами по защите значимых объектов критической информационной инфраструктуры.»
      2. Удалили пункт «защита от несанкционированного доступа к абонентским линиям связи при применении радиоэлектронных средств обеспечивается кодированием информации в радиоканале.»
      3. Введен новый пункт «Для защиты от несанкционированного доступа к информации, передаваемой посредством сетей подвижной радиосвязи, сетей подвижной радиотелефонной связи, сетей подвижной спутниковой радиосвязи, операторы связи обеспечивают реализацию процедур аутентификации и идентификации абонентов с использованием средств криптографической защиты информации, удостоверенных сертификатами соответствия требованиям федерального органа исполнительной власти в области обеспечения безопасности к шифровальным (криптографическим) средствам класса КА для оборудования коммутации узлов связи и класса КС3 для модуля идентификации абонентов USIM (R-UIM) в составе абонентского оборудования.»
     4. Введен новый пункт «Оператор связи в случае обнаружения признаков компьютерной атаки на средства связи оператора связи, а так же средства связи иных операторов связи при пропуске трафика, предпринимает меры по защите сетей и средств связи в соответствии с порядком, установленным оператором связи и действующими нормативными актами.»
     5. Категории узлов связи определяются не области действия (международные, транзитные, оконечные), а по «монтированной емкости» (свыше 500 Гбит в секунду, свыше 100 Гбит и менее 500 Гбит в секунду, менее 100 Гбит в секунду)

* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

вторник, 3 апреля 2018 г.

Правильная реакция Роскомназдора на критику

 
   
       Столкнулся на личном опыте с примером адекватной реакции регулятора на выявленные мной нарушения в его работе, о чем написал заметку www.facebook.com/valeryvkomarov/posts/536135080104242, а так же обратился с просьбой об оперативном устранении устаревшей информации с сайта Роскомнадзора через "электронную приемную". Полностью выдержаны сроки ответа на обращения граждан, установленные государством. Замечания признаны и устранены, можете просмотреть обновленный раздел www.rkn.gov.ru/treatments/p459/p468/.
       Более того, мне выразили благодарность за активную гражданскую позицию. Роскомнадзор молодцы. Остальным регулятором ИБ есть чему у них поучится. Очень понравились вопросы при анкетировании об удовлетворенности ответом РКН:

Информация содержащаяся в ответе на Ваше обращение:
Изложена в доступной форме и понятна
Не ясна суть ответа, информация воспринимается тяжело
Текст изобилует цитатами из нормативных актов
Результатом рассмотрения обращения:
Удовлетворен(а)
Не удовлетворен(а)
Отчасти удовлетворен(а)
 

       Коллеги, если вы видите где то ошибки или устаревшую информацию на сайтах регуляторов ИБ, сообщайте им. Нам же легче будет -меньше аргументов у работников, с ссылками на официальные сайты регуляторов. Будьте активны, наводите порядок в стране.


* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

понедельник, 2 апреля 2018 г.

ФИФА2018 и GDPR




      Очень интересный кейс на предмет применимости GDPR в России – оформление Паспорта болельщиков граждан ЕС для их участия в Чемпионате мира по футболу ФИФА -2018.