Миссия невыполнима: Протокол Фантом (+спойлеры)

Вчера посмотрели новую "миссию".

Я, конечно, ничего особенного от нее не ждал, но все равно был разочарован.
Русские в фильме предствлены как в боевиках 90-х годов, ладно хоть все не было красными флагами увешано. Кремль - просто проходной двор. Русские спецслужбы - образец некомпетентности какой-то. Ну скажите, какого хрена они вдруг решили расстрелять машину с американским "министром"?
Неприступная серверная на 136-м этаже небоскреба. В нее нельзя войти изнутри здания, но можно залезть снаружи, выбив окно. И, конечно, в стране с песчаными бурями, не то что в комнатах, но даже в серверной нет сигнализации на окнах. Зачем?
Американские навигаторы, работающие в эпицентре песчаной бури - это нормально, да.
Медиамагнат, ведущийся на красивую задницу и выдающий ей секретные коды, вместо того чтобы нажать какую-нибудь секретную кнопку для вызова охраны.
Сервера, взламываемые путем вставки в них USB-флэшки. И, кстати, гениальный Том Круз, сразу выбирающий нужный сервер из сотни таких же.
Русский физик-ядерщик в отставке, назубок помнящий коды для управления ядерными ракетами. Да, блядь, его бы грохнули сразу же, как он в отставку ушел, или, по крайней мере, сменили нахер все коды. Но нет... И из страны его можно вывезти спокойно, русские спецслужбы заняты расстрелом американских дипломатов - такие мелочи их не интересуют.
И, конечно, апофеоз - это внезапное самоубйство главного злодея. Он, видимо, понял, что иначе стареющий Круз не успеет спасти мир и облегчил ему задачу.
Негрила из "Девяти ярдов" появился только в конце. Да и то - только для того, чтобы сказать, что он не доволен действиями новой команды Круза.
В общем, сплошное расстройство. Если бы не Саймон Пегг на втором плане (который, внезапно, сдал экзамен и теперь работает в поле), ушел бы с фильма практически сразу. 

Переход на VMWare ESXi 5

Тихой сапой прошел переход на VMWare ESXi 5.
Я участия в нем практически не принимал, только в самом конце, мне нужно было прокинуть USB-ключи на втором сервере и убедиться, что все работает нормально. Что, собственно, и было сделано.
В нашем случае все довольно просто, поскольку у нас есть два абсолютно одинаковых сервера, соединенных с NetApp'ом. Несколько недель назад мы "согнали" все виртуальные машины на один из них, чтобы убедиться, что в случае, если какая-то железяка на одном из них накроется, работа предприятия не остановится. Некоторые VM пришлось ужать по выделяемой процессорной мощности и памяти, но, поскольку, раздавали мы их "с запасом", проблем не возникло.
После того как VM некоторое время поработали на одном сервере, решили сразу все обновить. В результате, системный администратор накатил обновление на один из серверов и тут выяснилась интересная вещь. Оказалось, что usb-флэшки имеют свойство подыхать в самый неподходящий момент и существует вероятность, что перезагрузив однажды "железный" сервер, он не сможет подняться (поскольку ESXi грузится с флэшки). Очень так удачненько совпало, в итоге, у нас теперь есть запас флэшек с ESXi, регулярно обновляемых системным администратором :).
Сегодня утром перегнали все машины на обновленный сервер и обновили ESXi на второй машине. Пять часов, полет нормальный.
Очень понравилась возможность миграции виртуальных машин. Раньше не было повода ей воспользоваться. Если купим второй комплект ключей для 1С (мечты-мечты), возможно, получится делать миграцию и для сервера с 1С. А пока, попробовали мигрировать SQL-сервер. Активность пользователей в этот момент была почти нулевая и машинка "переехала" всего за 4 минуты.
Самая приятная, для меня, возможность ESXi 5 - это возможность отдавать одной машине больше четырех ядер. Меня этот момент очень смущал, когда мы решили виртуализировать SQL-сервера.
Вот как это выглядит:

На скриншоте видно, что теперь можно не только управлять количеством ядер, отдаваемых виртуальной машине, но и определять как гостевая ОС будет их видеть. Т.е., можно как раньше выделить, например, 4 "одноядерных" процессора, а можно выделить 2 двухядерных, или, как на скриншоте - 2 четырехядерных. Мне это очень по нраву.

А вот и она. Определенность

Вчера, в субботу, закончились мои курсы по "Защите персональных данных".
В понедельник меня ожидает зачет и, либо получение свидетельства о повышении квалификации, либо ничего. В любом случае курсом я очень доволен.
Были не очень понятные моменты, такие как, разбор предыдущей редакции закона о персональных данных - на это мы потратили два часа. Можно было провести это время более полезно. Второе, что не понравилось - составление частной модели угроз мы "рассмотрели" за 45 минут. Рассмотрели в кавычках, поскольку мы просто посмотрели "рыбу" документа "Частная модель угроз безопасности персональных данных" - из каких разделов она состоит и куда там можно запихнуть выдержки из "Базовой модели угроз". Подробного рассмотрения базовой модели тоже не было.
По плану на составление МУ было отведено 12 часов. Из-за того что преподователь чувствовал себя неважно, мы уложились в 2-3 часа. Считаю, что это очень мало, тем более, что частная модель угроз - это основной документ, от которого очень сильно зависит выбор средств защиты.
Из того, что лично мне понравилось больше всего - это формулировка об СТР-К.
"Поскольку персональные данные относятся к конфиденциальной информации, мы должны руководствоваться всеми документами по защите конфи, в том числе и СТР-К. Таким образом, коммерческое предприятие, руководствуясь СТР-К, делает вывод о том, что в соответствии с СТР-К, использование СТР-К для нее носит рекомендательный, а не обязательный характер.".
Это шикарно, я считаю. Мы, руководствуясь СТР-К, определяем, что мы не обязаны руководствоваться СТР-К.
Второй любопытный момент - вчера нам показывали SecretNet. Штука конечно интересная, но понравился комментарий преподователя о том, что в сетевой версии всегда присутствует центральная машина, на которую собираются ВСЕ логи с остальных машин сети, из-за чего сеть может проседать и в некоторых случаях приходилось отказываться от использования сетевой версии - т.е. на каждой машине в ИСПДн нужно устанавливать и настраивать SecretNet. Это, конечно, ппц.
Оказалось, что в случае если вендор не продлевает сертификат на какой-то продукт, мы можем сами запросить у ФСТЭК продление этого сертификата для ЕДИНИЧНОГО продукта. Т.е. никто не имеет права пользоваться этой штукой, а мы имеем. Здорово. В некоторых случаях, для упрощения продления сертификата, имеет смысл обратиться в одну из лабораторий, благо в Омске их штуки четыре есть.
По итогам курса выработал для себя определенный план действий, надеюсь, начальство его примет.
Поскольку ФСТЭК делает "замену" 58-му приказу (в соответствии с 19-й статьей измененного 152 ФЗ), работы по ТЗКИ лучше отложить до выхода новых положений (вот тут есть об этом). Хотя, конечно, если вдруг нарвемся на проверку будет плохо. Но предприятие, вроде готово к этому - от юристов и ген. директора поступало предложение оттянуть внедрение мер по защите как можно дольше.
Однако, до внедрения средств защиты можно сделать кучу вещей. Заняться организационно-распорядительной документацией, составить тот же перечень ПДн и матрицы доступа, в конце концов - эти работы все равно придется проводить. Стоит подумать о том нужно ли нам брать согласие на обработку персональных данных с сотрудников и с клиентов - возможно, это облегчит нам жизнь. Например, если водители не дадут согласие на обработку своих ПДн для печати доверенностей - тем лучше, будут вписывать паспортные данные самостоятельно, а мы уберем десяток рабочих мест из ИСПДн.
В общем, думаю, что теперь мне будет чем заняться на работе - время и деньги потрачены не зря. Знания систематезированы, какой-то порядок в голове появился - это хорошо.

Неопределенность. Часть 2.

Только что закончился очередной день, проведенный на курсах по защите персональных данных.
Сегодня было, как обычно, два преподователя.
Первый из них уже читал лекции и его точка зрения на обязательность применения СТР-К в коммерческих ИСПДн (этот вопрос, в итоге я задал всем преподователям) уже была известна - не надо. С ним мы разбирали 781-е постановление и 58-й приказ. Не могу сказать, что узнал что-то новое, но повторение - мать учения, так что я не думаю, что зря провел время. Более того, было несколько интересных моментов.
Во-первых, действительно, разница между вторым и третьим классом ИСПДн минимальна. Фактически, все сводится к тому, что для второго класса чуть больше требований к МСЭ (при условии подключения ИСПДн к Internet) и необходимость использования оборудования, имеющего сертификат на электромагнитную совместимость. Для третьего класса такого требования нет. Это действительно мелочи.
Во-вторых, он объяснил в чем различие классов автоматизированных систем по СТР-К. Не могу сказать, что это очень полезно, но довольно-таки интересно.
После этого пришел новый преподователь, которому я, естественно, задал тот же вопрос про СТР-К. Ответ был: не обязаны, поскольку в самом СТР-К написано, что для коммерческих информационных систем этот документ носит рекомендательный характер. Это логично, но двое из четырех преподователей говорят, что все равно СТР-К обязателен для применения в ЛЮБЫХ системах.
С ним мы быстро пробежали 19-ю статью 152 ФЗ и постановления 781 и 687. Больший упор в его лекциях делается на обработку ПДн без использования средств автоматизации и на утечку "речевых" ПДн и по техническим каналам.
Что интересно - он признает, что выполнение всех подзаконных актов не гарантирует выполнения закона "О персональных данных", поскольку все эти подзаконные акты были написаны по предыдущей версии закона, но, по его же словам - пока нет новых актов (которые вроде как уже готовятся, но когда будут еще неизвестны) - проверки будут проходить на соответствие подзаконным актам, существующим сейчас. Т.е., занимать выжидательную позицию и ждать чем все закончится, он не советует. Но и классификацию проводить он не рекомендует, как и выполнять требования из 58-го приказа. Т.е., его позиция - нужно проводить обследование, составлять модель угроз и закрывать актуальные угрозы сертифицированными средствами, исходя из положений положения 781.
Из того что было особенно интересно, из его выступления:

• ФСТЭК закрывает глаза на отсутствие лицензии на ТЗКИ, при проведении работ "для себя";
• коммерческим ИСПДн не требуется аттестация;
• государственным ИСПДн требуется аттестация, при любом классе ИСПДн - это требование СТР-К.

Таким образом, лично для меня, все становится еще более запутанным.

Неопределенность

Второй день занимаюсь на курсах повышения квалификации по защите персональных данных.
Программа курса, как говорят, преподаватели, согласована со ФСТЭКом, однако, по этой программе у меня есть определенные вопросы.
Точнее, не по самой программе, а по тому что нам дают. Всего этот курс читают четверо преподавателей - трое из них часть своего материала уже отчитали, четвертый появится завтра. Что любопытно - у всех троих свой взгляд на этот закон. Один из них говорит, что СТР-К и другие документы, посвященные конфиденциальным данным, может быть удобно использовать при создании документации к ИСПДн (СЗПДн), но обязательный характер эти документы не носят. Такая позиция мне понятна и очень даже нравится - в этом случае мы не обязаны составлять технические паспорта на компьютеры и проводить аттестацию системы.
Другой говорит, что ВСЕ операторы ОБЯЗАНЫ использовать СТР-К и, соответственно, проводить аттестацию системы, составлять технические паспорта и прочее. Но, опять же, он не говорит о том как проводить параллели между классом ИСПДн и классом АС, но признает, что это разные вещи, т.е. остается неопределенность - какие требования СТР-К мы должны выполнять для ИСПД класса К2, например.
Третья точка зрения - ВСЕ документы ВСЕХ регуляторов в части конфиденциальных данных обязательны для применения. Т.е. в первую очередь мы защищаем конфи, а только потом персональные данные.
Вот как, блин, как они все это согласовали со ФСТЭКом? Или ФСТЭК считает, что любой из этих подходов имеет право на жизнь и оператор сам должен выбирать? В таком случае, мне кажется, должна быть оговорка, что оператор волен выбирать любой из понравившихся вариантов.
Впрочем, до конца курсов еще далеко и, возможно, что-то прояснится.
На данный момент, самое главное, что я вынес с курсов (и в чем сходятся все преподаватели) - это то, что для работ по установке, настройке и вводу в эксплуатацию средств защиты информации, организация должна иметь лицензию по ТЗКИ от ФСТЭК. Если такой лицензии нет - мы обязаны приглашать лицензиата (это, кстати, хорошо объясняет почему четверть стоимости по коммерческому предложению одного из лицензиатов - это именно работы по настройке СЗИ). Тут есть один нюанс, все они говорят, что готовится к принятию новый закон о лицензируемых видах деятельности, в результате принятия которого, лицензия на ТЗКИ будет "разбита" на несколько более мелких лицензий, что может облегчить и удешевить для оператора процесс получения такой лицензии.
Еще один важный момент - использование ТОЛЬКО сертифицированных СЗИ. Фактически, слов "сертифицированные СЗИ" в законе и подзаконных актах нет, но пункт 5 положения об обеспечении безопасности персональных данных при их обработке в ИСПДн, говорит о том, что СЗИ, применяемые в ИС, в установленном порядке проходят процедуру оценки соответствия.
Фактически, под процедурой оценки соответствия подразумевается та самая сертификация, и, если у СЗИ, применяемого у нас, нет сертификата, мы можем не заменять его, а договориться с одним из аттестационных центров (список которых есть на сайте ФСТЭК) о проведении процедуры оценки соответствия для этого СЗИ. Что будет стоить, вероятно, бешенных денег, но в итоге у нас будет сертифицированное СЗИ. Ход, по сути, достаточно глупый (на мой взгляд) и дорогостоящий, т.е. лучше сразу проектировать СЗПДн с теми СЗИ, которые уже имеют сертификат соответствия требованиям ФСТЭК.
Плюс, было много ссылок на 149 ФЗ, с которым я, увы, пока не успел познакомиться - возможно, после ознакомления что-то для меня прояснится.