Доклад на XI Международной конференции «Право и Интернет» http://www.ifap.ru/pi/11/ Всех аудиторов «посодют»?! Юридические аспекты консалтинга в области ИБ Сергей Гордейчик, руководитель отдела аудита и консалтинга Positive Technologies Алексей Гордейчик, адвокат Дмитрий Кузнецов, системный архитектор отдела аудита и консалтинга Positive Technologies В последнее в профессиональной среде широко обсуждаются различные юридические вопросы проведения тестов на проникновение и аудитов информационной безопасности. Как часто бывает, при столкновении физиков с лириками, дискуссия зачастую порождает совершенно противоположные мнения, вплоть до срочной необходимости привлечения всех аудиторов к уголовной ответственности по широкому спектру статей. В рамках доклада делается попытка свести воедино все вопросы и рассмотреть их с точки зрения российского законодательства и сложившийся практики В последнее в профессиональной среде широко обсуждаются различные юридические вопросы проведения тестов на проникновение и аудитов информационной безопасности. Как часто бывает, при столкновении физиков с лириками, дискуссия зачастую порождает совершенно противоположные мнения, вплоть до срочной необходимости привлечения всех аудиторов к уголовной ответственности по широкому спектру статей. Первой ласточкой было сообщение в блоге компании Infowatch (http://infowatch.livejournal.com/43369.html) где высказывалось сомнение в легитимности тестов на проникновение в связи с возможным использованием в ходе работ вредоносного программного обеспечения. Коллизия возникает по двум причинам: формальный состав преступления статьи 273 УК , т.е. наказуемы сами действия по созданию программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети; отсутствие четких критериев отделения вредоносного ПО от легальных программ. Поскольку формальный состав преступления выходит за рамки возможностей исполнителя и заказчика работ в части управления рисками, то рассмотрим второе положение. Текущая правоприменительная практика показывает, что в качестве критерия «вредоносности ПО» обычно используется экспертиза, сводящаяся к фиксации факта детектирования тестируемого образца распространенными антивирусными программами (такими, как DrWeb или Антивирус Касперского). Однако в ходе работ по тестированию на проникновение зачастую проводится поиск уязвимостей в антивирусном ПО, позволяющих обойти защитную функцию, т.е. остаться незамеченным. Более того, существует масса примеров ложных срабатываний (т.е. детектирования легитимного ПО) антивирусными программами, которые решаются в рамках взаимодействия со службой технической поддержки. Таким образом, аудиторам рекомендуется: Не использовать общедоступные образцы вредоносного ПО в ходе работ и максимально использовать стандартные утилиты и программы из состава ОС, а также сертифицированные решения. Фиксировать согласие Заказчика на проведение конкретных атак на конкретные объекты с целью возможности доказательства наличия санкционированного доступа. Взаимодействовать с антивирусными вендорами в рамках политики «Ответственного разглашения» с целью устранения обнаруженных недочетов в антивирусных программах. Закладывать в разрабатываемое ПО ограничения, с целью предотвращения его несанкционированное использование (например, функций аутентификации или конкретные сетевые адреса, указанные в договоре на проведение работ). Вторая волна вопросов была поднята статьей Н. Пятиизбянцева «Аудит на соответствие PCI DSS и Уголовный кодекс РФ», опубликованной в Информационно-аналитическом журнале «Плас» № 7 (147) за 2009 г. В статье высказывалось сомнение в легитимности проведения тестов на проникновение с точки зрения возможности получения несанкционированного доступа к охраняемой законом информации, такой как персональные данные или банковская тайна. Проблема законности доступа к охраняемой законом информации при проведении аудита безопасности, в том числе в банковской сфере, гораздо шире, чем представляется автору стати. Она не исчерпывается тестами на проникновение по стандарту PCI DSS, в ходе которых, действительно, имеется реальная угроза получения аудитором сведений, составляющим охраняемую законом тайну. Коллизия возникает практически всех возможных работ, связанных с ИТ-консалтингом и системной интеграцией, таких как внедрение и поддержка систем, использование распространенных практик аутсорсинга и аутстафинга. Рассмотрим вопрос применительно к банковской тайне. Вопросы осуществления аудита информационной безопасности до настоящего времени обойдены вниманием законодателя, хотя легальной основой для осуществления подобного рода деятельности, безусловно, являются ст. 16 Федерального закона «Об информации, информационных технологиях и защите информации». При этом острая необходимость в подобных услугах привела к тому, что их регулирование начало осуществляться на основании подзаконных нормативно-правовых актов. Так, с 5 января 2009 г. в соответствии распоряжением Банка России от 25 декабря 2008 г. № Р-1674 был введен в действие Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2008. Данный документ также предусматривает возможность проведения внешнего аудита информационной безопасности. При этом исходя из предписаний: - п.п. 3.61 – 3.67, п. 8.13, 8.14 п.п. 9.3 – 9.5 названого акта; - а также положений пп. 7.2.10 Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» СТО БР ИББС-1.1, п. 5.2, приложения Б рекомендаций в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0», в которым он непосредственно отсылает, – в рамках любо пусть даже не связанного с проникновением аудита также имеется возможность получения оказывающей услуги организацией сведений, составляющих банковскую тайну. В частности, этом возможно при анализе документов, касающихся случаев обнаружения и реагирования банком на инциденты безопасности. Иными словами, подобный аудит формально будет также являться «незаконным», по мотиву потенциальной угрозы нарушения положений п. 2 ст. 857 ГК РФ, поскольку, на наш взгляд, ст. 26 Федерального закона «О банках и банковской деятельности» упоминает аудиторские организации в контексте Федерального закона «Об аудиторской деятельности». Это, в свою очередь отсылает к статье 183 УК, состав преступлений, предусмотренный ч.1 и ч. 2 ст. 183, сконструирован по типу формального, для признания преступления оконченным не требуется наступления каких-либо последствий. Можно привести примеры и из других областей. Так, начальным этапом работ по обеспечению соответствия требованиям закона 152-ФЗ «О персональных данных» является аудит с целью проведения классификации систем обработки персональных данных (ПДн) в соответствии с приказом ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008 "Об утверждении порядка проведения классификации информационных систем персональных данных". В ходе этих работ подрядчик должен проанализировать следующие параметры: категория обрабатываемых данных объем обрабатываемых данных характеристики безопасности структура ИС наличие подключений к Интернет и сетям общего пользования режим обработки персональных данных режим разграничения прав доступа местонахождение технических средств. Для получения информации о категории ПДн аудитор должен выяснить состав обрабатываемой информации, т.е. осуществить доступ к персональным данным. Аналогичные ситуации возникают и в ходе других распространенных работ , таких как техническая поддержка систем DLP, внедрение и сопровождение АБС и т.д. Таким образом, до решения вопроса о регламентации деятельности по проведению аудита информационной безопасности и других работ на законодательном уровне, в плане минимизации рисков, связанных наличием данного пробела законодательства, банкам следует, на наш взгляд, осуществить ряд мер правовой защиты. В частности, предлагается включать безопасности в договоры с клиентами условие о возможности доступа внешних аудиторов к банковой тайне и персональным данным в рамках проведения мероприятия по обеспечению информационной. Такое условие может также заключаться в отсылке к внутренним документам банка (положению об обеспечении информационной безопасности). Что касается других видов тайн, то здесь разумным решением выглядит привлечение к работам компаний, имеющих соответствующие лицензии, например лицензиатов ФСТЭК или ФСБ. Всех аудиторов «посодют»?! Юридические аспекты консалтинга в области ИБ Сергей Гордейчик Positive Technologies Обвинительное заключение 1 Так называемые пентесты (тесты на проникновение) часто проводятся с использованием вредоносных программ. Тот факт, что обладатель информации и оператор ИС дал своѐ согласие на доступ, никак не влияет на квалификацию действий пентестера по ст.273 УК. Доступ – это одно, а программы – совсем другое. http://infowatch.livejournal.com/43369.html Обвинительное заключение 2 В этой ситуации практически любой практикующий юрист заявит вам, что согласно букве российского законодательства без наличия такого разрешения компрометация банковской тайны или персональных данных не только может, но и должна повлечь за собой уголовную ответственность. http://www.plusworld.ru/journal/page163_1242.php Обвинительное заключение 3 Если, например, представить, что в результате проведения тестовой атаки компьютерная система, <…>, была заблокирована или уничтожена, можно говорить об умышленно совершенном неправомерном доступе к компьютерной информации – ст. 272 УК Российской Федерации. http://www.plusworld.ru/journal/page163_1242.php Вместо «хакеров»… Всех пентестеров «посодют?» Почему пентесты? Заказчики (и исполнители) зачастую не понимают сути и методик Penetration Testing По конференциям ходят странные люди, рассуждающие о «пентестах, как эмуляции действий злоумышленника» PCI DSS делает Pentest обязательным, для процессингов Pentest с высокой вероятностью будет «успешен» • Если «не взломали», то вы нашли плохого подрядчика. • Если «взломали», то вы плохо работаете. Почему 273? Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами формальный состав преступления статьи 273 УК , т.е. наказуемы сами действия по созданию программ для ЭВМ отсутствие четких критериев отделения вредоносного ПО от легальных программ Что такое «вредоносное ПО»? Скопируем функцию …. (ресурсы TechNet, репозитарий скриптов). Запишем функцию "GetHTTPCRL" в произвольный файл с расширением vbs. Удалим все комментарии из этого сценария и сохраним его. http://devteev.blogspot.com/2009/10/blog-post.html Что такое «вредоносное ПО»? Периодически «вредоносным» оказывается самое разное ПО http://www.securitylab.ru/news/264376.php http://www.securitylab.ru/news/363228.php Что делать? Не использовать вредоносное ПО • Не использовать общедоступные образцы вредоносного ПО. • Фиксировать согласие Заказчика на проведение конкретных атак на конкретные объекты для фиксации санкционированного доступа. • Взаимодействовать с антивирусными вендорами в рамках политики «Ответственного разглашения» для устранения обнаруженных недочетов в антивирусных программах. • Закладывать в разрабатываемое ПО ограничения, с целью предотвращения его несанкционированное использование. Pentest vs Avir Но иногда, в ходе глубоких Red Team Pentest заказчика интересует, сумеет ли "продвинутый" злоумышленник обойти комплекс средств защиты, куда входят и антивирусы... В этой ситуации пентестерам приходится искать недостатки в антивирусных программах и разрабатывать "утилиты удаленного управления", обходящие защиту. http://sgordey.blogspot.com/2009/09/blog-post.html Ищем, закрываем… снова ищем… http://www.securitylab.ru/lab/ Доступ к банковской тайне Потенциальная угроза нарушения положений п. 2 ст. 857 ГК РФ Ст. 26 Федерального закона «О банках и банковской деятельности» упоминает аудиторские организации в контексте Федерального закона «Об аудиторской деятельности». Статья 183 УК, формальный состав преступлений, предусмотренный ч.1 и ч. 2. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну Только ли Pentest? ВСЕ РАБОТЫ, СВЯЗАННЫЕ С ДОСТУПОМ К ДАННЫМ! МЫ НЕ ПОЛУЧАЕМ ДОСТУП К ДАННЫМ! СТО БР ИББС 1.1 2009 - 7.2.10 – аудит процессов • У вас все хорошо? Pentest – анализ уязвимостей систем • Мы взломали сервер 1.1.1.1, там простой пароль. • Нет, мы не смотрели, что в этом Oracle. PCI DSS, раздел 4 (шифрование данных) • У вас все зашифровано? Ну и отлично. • А покажите… Нет, лучше не надо. Как «лечить»? Предоставить это Заказчику • Совместные работы. • Выполнение «опасных» операций представителем заказчика. • «Обезличивание» результатов. Обходить опасные места • Не работать с данными Переложить на клиента • включать в договоры с клиентами Крайний случай Система протоколирования Представитель Заказчика Ноутбук Заказчика Исполнитель Крайний случай Система протоколирования Представитель Заказчика Это ОН получал доступ к данным! Ноутбук Заказчика Исполнитель Только ли аудиторы? Техническая поддержка систем DLP • У нас XXX не обрабатывает письма от YYY. • Пришлите, пожалуйста перехваченную сессию. Внедрение и поддержка систем АБС • Даже подумать страшно! Практически любые работы, связанные с ERP • Он заходил в нашу 1С-Кадры!