понедельник, 28 февраля 2011 г.

Курсы как место утечек

Присутствовал на курсах по проектному управлению. Элементом курсов было сквозной проект слушателей. В качестве тренировочных проектов были выбраны:
1. Текущие проекты и отмечены ошибки управления ТОП менеджеров.
2. Перспективные проекты, описаны слабые и сильные стороны проекта, указаны проблемные моменты компании.
3. Везде указывался реальный ФЗП.

понедельник, 21 февраля 2011 г.

Фотография с web камеры – биометрические данные?!

Продолжая тему, казалось уже неактуальную, видов персональных данных сегодня рассмотрим биометрические ПД.

Многие организации устанавливают у себя СКУД – системы комплексного контроля управления доступом. Одной из возможностей предоставляемых этими системами – возможность привязать к пропуску фотографию и основные данные: ФИО, номер документа, должность.
Теперь при предъявлении пропуска на мониторе у сотрудника службы безопасности появляется фотография проходящего мимо человек. Обычно для фотографирования используется web камера.
Теперь попробуем проклассифицировать эту систему.
ФИО, Паспорт, Должность - однозначно 3 категория ПД - чистая идентификация...

Есть еще фотография и здесь начинается интересное.
Мнение Новосибирских ФСТЭК и РКН однозначно – ИСПДн обрабатывающая фотографию относится к 1 категории.
Попробуем разобраться с ситуацией. Первый шаг – 152-ФЗ, дающий определение биометрическим персональным данным: «Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность…». Комментарий ФСТЭК – сама по себе фотография сделанная с web камеры не соответствует требованиям ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица». Однако в СКУД хранятся еще ФИО и другие данные, а так же фото используется для идентификации субъекта при прохождении процедуры контроля. Таким образом, можно сделать вывод 1: «отнесение фотографии к биометрическим данным зависит от системы и информационного окружения».
Идем далее. Есть Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». При классификации систем нет отсылок к биометрическим данным. Законодатель разделяет специальные категории (статья 10) и биометрические данные (статья 11). Таким образом единственная категория обрабатываемых ПД в системе: «категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных». Данное утверждение следует из (1) определения БмПД, (2) разъяснения Новосибирского ФСТЭК, основанием отнесения фотографии является возможность идентификации.
Таким образом верхняя граница классификации не более К2. Так в чем же отличие от простой идентификации? Смотрим статью 11: «могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи». И статью 19 ч.4: «Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения». Делаем вывод 2: «мы имеем в худшем случае К2 плюс обязательное письменное согласие субъекта, плюс надежное хранилище».

Как-то так. Будем общаться с контролерами дальше.

P.S. В подавляющем большинстве случаев охранник является сотрудником ЧОП или ВОХР – соответственно сотрудником другого юридического лица, соответственно требуется согласие субъекта на передачу данных третьим лицам.

upd. Кратко итоги: Исходя из прямого прочтения документов система контроля управления доступом не может быть выше класса К2, а вероятнее всего К3. Обязательным требованием является согласие субъекта на обработку биометрической информации.

пятница, 18 февраля 2011 г.

Почему бизнес не инвестирует в безопасность?

Недавно мне в руки попали материалы о защите ресурсов одной очень крупной и успешной компании – интегратора систем информационной безопасности. При анализе её системы защиты у меня возник вопрос: А имеет ли право на существование правило «сапожник без сапог» в области информационной безопасности.
С точки зрения соблюдения требований РД – претензий к компании не может быть. Все выполнено и реализовано. Правда, на базе слегка устаревших решений. Поэтому говорить о защищенности сети и ресурсов можно весьма условно. При этом я видел их решения и результаты работ - вполне прилично и на должном уровне. Так что в отсутствии профессионализма их может объявить только весьма предвзятый конкурент. А причина такого состояния СЗИ вполне тривиальна – отсутствие финансирования. Так чего мы требуем от бизнеса, основная и единственная цель которого зарабатывать деньги?

воскресенье, 13 февраля 2011 г.

Защита информации и бизнес

«А гренка в нашем ресторане называется крутон. Это точно такой же поджаренный кусочек хлеба, только гренка не может стоить 8 долларов, а крутон – может.» © «О чем говорят мужчины» Театр "Квартет И"

Меня иногда интересует, почему сложилось так, что безопасность в информационных технологиях довольно часто оказывается при распределении финансов далеко не в первых рядах. Утверждение, что безопасность рассматривается собственником как чисто расходная статья, понимания не вносило. Каждый раз было желание ответить, что, дескать, сейф компания покупает, и с совершенно непонятными целями садит на входе охранника. Кстати, а много есть good-story о том, что охранник, переписывающий паспорта на входе, предотвратил какое либо хищение? Казалось бы безопасность напрямую связана с инстинктом самосохранения, вторым по важности и эти примеры это подтверждают. Но факты говорят об обратном.