среда, 19 июня 2013 г.

О соцсетях, цензуре и музыке.

Пока ехал на работу в голове родился данный пост.  Можно, конечно, поговорить об его отношении к теме безопасности, но разговор не об этом. 
...Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны...
 Доктрина информационной безопасности Российской Федерации

Ход моих мыслей начался с популярной нынче темы о том, что  «ВКонтакте» активно готовится к принятию антипиратского закона и удаляет музыку с своих серверов. Даже есть список тех исполнителей, композиции которых будут удалены. И уже пошла волна возмущения. Как пишет SecurityLab 
«Пользователи «ВКонтакте», естественно, негативно восприняли нововведения. В Twitter уже появился хэштег #вернитемузыкувVK, который в настоящее время находится в списке мировых трендов.»

Лично я целиком и полностью поддерживаю данную инициативу, ибо если хочешь слушать, слушай. Но заплати за это. Пусть ВК заключает договора с правообладателями, предоставляет возможность покупки, аренды. Также при принятии антипиратского у Google появится смысл сделать доступным в России Google Music, который сейчас для РФ недоступен (статья на Хабрахабре еще актуальна, хотя ей больше полутора лет).
Ведь по сути, мы же нормально относимся к тому, что для того, чтобы пользоваться квартирой, автомобилем и прочими благами нужно платить. Не можешь заплатить за покупку, заплати за аренду. Можно также платить за прослушивание. Допустим, символический 1 рубль за 1 прослушивание. Сколько композиций ежедневно прослушивается в ВК? Да ВК сам заинтересован в таком виде монетизации. А тут и отличный повод – антипиратский закон. 

Далее по вопросу, который задевает меня, как порядочного гражданина. Это полное отсутствие контроля за контентом, который находится в ВК, а именно о фотографиях и популярных нынче демотиваторах. Есть популярная нынче группа MDK (почти полмиллиона подписчиков), доступ к которой может получить хоть 7-милетний ребенок. Кому интересно, взгляните на контент. Ну, кто-то почитает и поулыбается. А теперь представьте, что так-же улыбается только что пошедший в школу ваш ребенок. Устраивает? А они растут на технологиях и очень активно осваивают интернет. Я не буду сильно расписывать свои принципы морали, однако стоит сказать, что меня, как воспитанного человека возмущает обилие (да-да, именно обилие) ненормативной лексики в ВК. Ладно я, я могу как-то фильтровать. А поколение, которое сейчас растет, от 7 до 18. 80% из них знают больше ненормативной лексики, чем я сейчас, и тем более ранее. Обо всем этом можно много говорить, однако есть же инструменты, позволяющие контролировать то, что видит наша молодежь, а именно:

Для начала, контроль возраста. Это могут быть и паспорт, и родители. Допустим, хочет 10-тилетний мальчишка в ВК. А ему говорят, что мол, пока у тебя нет паспорта, то подтверди, пожалуйста, свой возраст. А для этого пусть кто-то из твоих родителей/опекунов предоставит свой паспорт и подтвердит свои права на то, что он может подтверждать твой возраст (каламбур получился).

С возрастом разобрались, теперь фильтрация контента. Здесь все просто, есть EXIF. Что мешает выработать механизм с использованием этого замечательного инструмента. Вот, допустим, мой вариант:

1. При загрузке контента в ВК пользователь для каждого экземпляра указывает возрастную категорию. При чем должен быть четкий, но простой регламент, к какой возрастной категории какую информацию нужно относить.
2. Контент загружается и отображается, но параллельно отправляется на модерацию. Модерация может проходить как в ручном, так и в автоматическом режиме. Про определение контента/контекста хорошо расписал Алексей Лукацкий вот здесь
3. А дальше все просто. У пользователя на странице отображается только тот контент, который соответствует его возрастной категории.

Что-то усложняется? Да. Но при грамотной реализации механизмов через 10-20 лет мы не получим поколение обезьян, которые будут способны лишь нажимать «Like» и «гадить в комментах». А тенденция идет в этом направлении. А ведь достаточно грамотно продумать закон об этом самом контроле соцсетей. И наказывать соцсети за то, что они не соблюдают закон. Как регулировать? Да очень просто. Допустим, я увидел явное несоответствие контента и возрастной категории. Скачиваю с ВК. При этом возрастная категория в EXIF остается и добавляется источник получения: ВК. Далее просто отправить регулятору. 

Ответственность можно разделить. Соцсеть полностью отвечает за контент и механизмы реализации фильтрации, пользователь отвечает перед соцсетью за то, что он загружает и насколько корректно присваивает возрастную категорию. Допустим, больше 10% некорректного присвоения – запрет загружать контент на определенный срок. Бан, по простому…

Я предполагаю, что РФ при принятии такого закона с реальной заботой о своем будущем даст повод задуматься и другим государствам. Плюс стимулирование развития контекстного анализа, про который писал А.Лукацкий.

Утопия? Возможно. Но ведь не так сложно реализовать механизм. А дать он может очень много.

[upd] Заметил, что неправильно написал фамилию Алексея Лукацкого. Сорри, поправился.

вторник, 18 июня 2013 г.

Акт определения уровня защищенности ПДн при их обработке в ИСПДн

В данном посте хотелось бы осветить  такой документ, как Акт определения уровня защищенности ПДн при их обработке в ИСПДн. Это, если можно так сказать, перерождение Акта классификации ИСПДн. Основной камень преткновения, который я встретил, это не совсем понятная картина в том, что является законодательным  инструментом в написании данного акта. Дело в том, что ранее этот акт классификации ИСПДн писался на основании приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», который и утверждает порядок классификации. Но издан этот приказ в соответствии с пунктом 6  Постановления Правительства №781 от 17 ноября 2007 г., которое утратило силу в связи с выходом Постановления Правительства № 1119 от 1 ноября 2012. Таким образом, приказ действующий, а вышестоящий документ – нет. В свою очередь в ПП 1119 нет привязки к категории ИСПДн, однако есть привязка к уровню защищенности персональных данных, который должен быть обеспечен при их обработке в ИСПДн. 
Итак начать нужно с названия документа: «Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «**********» Его я подсмотрел у Андрея Прозорова и оно меня целиком и полностью устроило. Надо отметить, что Андрей и по акту помог некоторыми комментариями, за что ему отдельное «Спасибо!» («Спасибо» лишним не бывает, Андрей улыбается ;) ).
Далее по содержанию акта:
Определяем состав комиссии. У меня в документе это реализовано таблицей, однако можно и текстом. Как говорится, на вкус и цвет все фломастеры разные. 

После пишем, на основании какого документа мы определяем, какой уровень защищенности нам необходимо обеспечить. Естественно, это ПП 1119. Однако есть мнение, что т.к. приказ №55/86/20 еще не утратил силу, то указать желательно и его. Привычка регулятора может сыграть злую шутку. У меня текст следующий: 
 «Комиссия, рассмотрев исходные данные информационной системы персональных данных (ИСПДн) «********»в соответствии с Постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и учетом приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»,   определила:» 
Это с учетом того, что выше в таблице у меня уже указан состав комиссии.

Далее по пунктам расписываем, что определила комиссия, а именно:
  1. Категории персональных данных, обрабатываемых в информационной системе. Здесь, согласно ПП 1119 у нас есть 4 варианта: иные, общедоступные, биометрические,  специальные. Также рекомендую по тексту расписать, что подразумевается под каждой категорией ПДн.
  2. Объём обрабатываемых персональных данных. Здесь все просто, либо менее 100 000, либо более 100 000.
  3. Угрозы, актуальные для информационной системы. Опять таки, типы угроз расписаны в ПП 1119. И также по тексту описываем,  какие угрозы к какому типу относятся. Желательно описать, почему именно этот тип угроз, либо сослаться на модель угроз.
  4. Тип субъектов персональных данных, обрабатываемых в информационной системе. Тоже все просто. Это либо только сотрудники оператора, либо нет. Также лучше пояснить, что значит «сотрудники оператора». Вам не сложно, а у регулятора меньше поводов зацепиться.
  5. К специальной или типовой относится ИСПДН. Здесь также лучше расписать, по каким критериям происходит отнесение. Только это уже берется не из ПП 1119, а из «трехглавого» приказа №55/86/20.
  6. Структуру ИСПДн (автономная, локальная, распределенная)
  7. Имеются ли подключения ИСПДн к сетям общего пользования
  8. Режим обработки ПДн в ИСПДн (однопользовательский или многопользовательский)
  9. Имеется ли разграничение доступа
  10. Территориальное расположение ИСПДн (Целиком в пределах РФ или нет)


По сути, п.п. 5-10 здесь не нужны, т.к. для определения уровня защищенности достаточно первых четырех, однако пару лет все-таки рекомендуется не исключать "отголоски" трехглавого приказа, если он, конечно, не будет отменен в явном виде ранее. Моя таблица для определения УЗ ПДн:

Завершающий аккорд: определение необходимого уровня защищенности. Формулировка здесь также свободная, однако я ко всему прочему сделал отсылку на модель угроз: 
По результатам анализа исходных данных, а также основываясь на модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных «********», в информационной системе «********» требуется обеспечение Х  уровня защищенности персональных данных.

Итоговый документ на двух страницах:


четверг, 13 июня 2013 г.

О системе образования, точнее о его оценке.

Отныне я дипломированный специалист по защите информации, и это, определенно, доставляет мне огромное удовольствие и тешит мое самолюбие. Но пост немного не об этом.
Защитился я на твердую "хорошо", однако я не согласен с данной оценкой. И не потому, что я долго готовился, переживал, заново перешивал диплом из-за одной фразы, которая мне не понравилась и которую мы с моим руководителем как-то пропустили, нет. 
Начну с начала, но постараюсь не особо углубляться в подробности.
Теме моя была достаточно актуальной, а именно "Метод оценки критичности мер защиты персональных данных", и именно поэтому я ее взял. В общем говоря, суть в компиляции методики определения актуальных угроз ПДн ФСТЭК и ROI (Return Of Investments, возврат инвестиций).Здесь есть что совершенствовать, есть что предлагать, есть о чем говорить. И я даже бы не говорил сейчас о том, что меня что-то не устраивает. Просто сама суть и принцип вопросов меня удивили. Как и принята, презентация должна занимать 7-10 минут, 10-15 слайдов. В эти рамки я уложился, конечно пару раз запнулся, ну это и логично, дипломную работу защищал, как ни как. Всего вопросов было порядка 10, хотя обычно задают 2-3, по крайней мере у нас. Ну и это не суть. На все вопросы я ответил корректно и все они были приняты. И только три вопроса вызвали некое обсуждение либо сметение. Привожу их, а судить  о моей правоте в написании этого поста не мне. Итак:

-А почему вы определяете вероятность реализации угрозы по шкале от 0 до 10? Вероятность же математически от 0 до 1 определяется?
- Да, согласен с Вами. Я исходил из того, что данный показатель вероятности определяется аналогичным способом в методике ФСТЭК?
-В методике ФСТЭК вероятность реализации угрозы определяется не так. 
-Так
-Нет.
Дальше спорить я не стал, ибо лучше было бы не усугублять ситуацию. Однако, ФСТЭК:

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент  Y2, а именно:
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.

Надо сказать. что суть была именно в слове ВЕРОЯТНОСТЬ и втом, что во ФСТЭК она определяется не пошкале от 0 до 10. Ладно, далее.
Форумула, по которой я считаю компенсированные потери выглядит так:

Компенсированные потери = (Усум-Зр)/Тм*Сгод, где:

Усум – суммарный ущерб от реализации всех угроз, устраняемых мерой;
Зр – затраты на реализацию меры;
Тм – срок службы меры;
Сгод – вероятностное количество событий реализации угроз в год.

Здесь я вообще был в шоке, если не сказать нецензурно. Точнее:
-А если у Вас затраты на реализацию меры будут больше, чем суммарный ущерб от реализации угроз. У Вас же тогда компенсированные потери будут отрицательными.
-Ну да, это логично. Это значит, что применение данной меры для устранения данной угрозы нецелесообразно.
-А Вы это никак не отражаете.
-Это очевидно.
-Ну. как сказать.

Я все понимаю, но я же не для 7-летних детей доклад делаю, а для людей, имеющих ученую степень. И если  (-1000 руб) для человека с ученой степенью не очевидно, что это потери, то я не знаю, как надо было еще доносить.

И финиш, наверное.
-А в чем достоинство Вашего метода в отличие от методики ФСТЭК?
-В том, что в методике ФСТЭК в результате получается показатель угрозы "актуальна/не актуальна", а в разработанном мной методе на выходе пользователь получает отражение реальных денег, которые он не потеряет, устранив данные угрозы данной мерой.
-Нууууу....

Как я понимаю, понятия "потребности бизнеса" здесь ничего не дали, а жаль...
А задавал эти вопросы и.о. председателя комиссии, т.к. председатель почему-то не приехал.

В заключении хочу сказать. что "отлично" получила работа, состоящая из статьи, которая будет публиковаться в зарубежном издании и не тем человеком, который ее представлял. Он даже к авторству ее не имеет ни единого отношения. Комиссия этого не определила... Вот такая вот комиссия. Ободряет лишь то, что ни зав.кафедрой, ни товарища Шведа В.Г. из ФСТЭК (который и должен был быть председателем комиссии) не было. Тогда бы ситуация сложилась бы иначе.
С другой стороны, этот университет дал мне те знания и тот инетерс к информационной безопасности, который сохраняется и разрастается и по сей день. И даже ситуация с некорректной, на мой взгляд, оценкой. этого не изменит. Ровняюсь я уже не на преподавателей, а на людей более компетентный, не на теоретиков, а на практиков. 

ЗЫ. Недавно Андрей Прозоров поднимал вопрос о том, что в ГУ ВШЭ доклады делают про шифраторы, а не про актуальные для бизнеса проблемы и инструменты. Интересно, чем их сохраняемые для них же зеленые бумажки не устроили? =)

четверг, 6 июня 2013 г.

Маловероятные угрозы

Пишу модель угроз, так сказать, с чистого листа. Дело достаточно нудное, но интересное. Но суть не в моей модели. В процессе написания, естественно, помогает товарищ Гугл! Куда же без него=)
Ну так вот, открыто у меня порядка 5-7 моделей, не считая моей. Из каждой выбираю лучшее, более понравившееся, редактирую, перефразирую для благозвучия. Ну, процесс знаком всем. Но модели до конца не листал. А тут решил.. И попалась мне под руку модель угроз муниципального автономного учреждения «Многофункциональный центр предоставления государственных и муниципальных услуг» муниципального образования «Город Глазов».
И все бы ничего, да вот только из 24 описанных в модели угроз только у трех низкая вероятность возникновения. Остальные маловероятны (по методике определения актуальных угроз это значит, что отсутствуют объективные предпосылки для реализации угрозы, Y2=0). Ну, здесь принцип понятен. Если угроз по минимуму, то и защищаться надо по минимуму.
Начав дальше вчитываться в описание угроз, я нашел вот что (привожу в оригинале):

12. Недекларированные возможности системного ПО и ПО для обработки персональных данных.
            Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
            В Учреждении есть/нет программного обеспечения разрабатываемого собственными разработчиками/сторонними специалистами.
Вероятность реализации угрозы – низкая.

Почему составитель данной модели сначала говорит о ПО, а в описании НДВ только о СВТ? Вообще, странная модель, много в ней интересного, если вчитаться.

Найти в гугле ее можно по запросу "модель угроз город глазов"

ЗЫ. Я понимаю, что я сам не мастер и не эксперт в написании документации. Но читать же надо, если модель пишется по принципу копипаста.