ИБ в Узбекистане (ITTS)

⚡🇺🇿В самом конце прошлого 2024 года был опубликован и сразу вступил в силу закон Республики Узбекистан “О телекоммуникациях” в новой редакции.

На что стоит обратить внимание:
- Министерство цифровых технологий определено уполномоченным органом (ст.9)
Статья 11 описывает “регулирующий орган” и его права, определяться он будет КабМином. Чем он отличается от “уполномоченного органа” или это тоже будет МинЦифры - пока непонятно.
- В статье 23 указывается что средства оперативно-розыскных мероприятий (СОРМ) приобретаются за счёт провайдера и по требованию специального уполномоченного органа. Но закон определяет “уполномоченный орган”, это МинЦифры, а “специальный уполномоченный орган” явно в законе не определён. В прежней редакции закона он был (профильное министерство). Вероятно, при принятии новой редакции где-то в тексте остались рудименты этого термина. Ну или придётся предположить что будут существовать разные “уполномоченный орган”, “специальный уполномоченный орган”, “регулирующий орган”.🤔

- Примечательное нововведение в статье 13:

Лицензия на эксплуатацию и оказание услуг сети передачи данных не требуется при использовании сетей передачи данных в производственно-технологическом процессе и в целях доставки сигналов для оказания услуг банка, платежной системы, платежной организации, а также платформы электронной коммерции.

До этого в первую очередь платёжные организации зачем-то получали лицензию на проектирование, строительство, эксплуатацию и обслуживание сетей телекоммуникации, хотя занимались этим не в большей степени чем любое другое современное предприятие.

Канал КорпИнфо сделал разбор нового закона с точки зрения прав собственности под несколько кликбейтным заголовком “Запрещено ли теперь использование VPN, и что такое «Связь» в Узбекистане ?!”
Краткий ответ - нет. Разъяснения на этот счёт давал даже МинИнфоком. Такая мысль могла появиться потому что в статье 20 есть фрагмент о запрете использования сети телекоммуникаций в обход установленных систем защиты. На самом деле эта норма была уже давно, в Кодексе об административной ответственности была статья 278.7. Незаконный (несанкционированный) доступ к сети телекоммуникаций с практически идентичным текстом. Она касается терминации телефонного трафика в обход традиционных операторов и GSM-шлюзов. Зачем понадобилось повторять эту норму ещё и в тексте закона - непонятно.

🇺🇿Министерство юстиции Республики Узбекистан напоминает, что с 1 января 2025 будет введен единый электронный реестр населения, содержащий гражданское состояние физических лиц и другие сведения об их личности.
Собственно все что пока известно об этом реестре содержится в п.14 приказа Указа президента РУз № УП-80 от 24.05.2024 г.

Установить, что Единый электронный реестр населения:
- является единой электронной базой персональных данных граждан Республики Узбекистан, иностранных граждан и лиц без гражданства, постоянно проживающих в Республике Узбекистан;
- интегрируется с информационными системами соответствующих государственных органов и организаций, и при оказании государственных услуг гражданам, оформлении нотариальных действий, предоставлении банковских, коммунальных, страховых и других массовых услуг используется данный реестр;
- ведется Агентством персонализации при Министерстве юстиции.

🤔Интересно, пополнится ли теперь профессиональный жаргон ИТ, ИБ и ПДн специалистов новой аббревиатурой ЕЭРН?

🇺🇿📚Опубликован текст Национального стандарта Узбекистана OʻzMSt ISO/IEC 27002:2024 (ISO/IEC 27002:2022, IDT) "Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью".
Нужно понимать что стандарты ISO/IEC 27001 и ISO/IEC 27002 идут в паре. Первый - перечень требований, именно по нему проводят сертификацию. По данным ISO в Узбекистане сейчас только три предприятия имеют такой сертификат.
Второй - подробный справочник по каждому требованию с примерами и рекомендациями. То есть специалистам в работе полезнее именно второй.
Итак, кратко ещё раз ISO/IEC 27001 - требования , ISO/IEC 27002 - справочник по каждому требованию.

Основной (старший, родительский) стандарт по ИБ в Узбекистане Oʻz DSt ISO/IEC 27001:2020 пока остался без изменений и идентичен предыдущей версии международного ISO/IEC 27001:2013. Сведений о его обновлении у нас нет. Обзор новых национальных стандартов ИБ Узбекистана мы делали совсем недавно.

UDP: В приложении C стандарта OʻzMSt ISO/IEC 27002:2024 "Сведения о соответствии ссылочных международных стандартов государственным стандартам Республики Узбекистан" есть важное примечание о ISO/IEC 27001:

* В настоящее время действует новая версия международного стандарта. До принятия новой версии
международного стандарта в качестве национального стандарта использовать действующий государственный стандарт или новую версию международного стандарта

🇺🇿💭Примечательный диалог состоялся у представителя TBC Group Оливера Хьюза с президентом Узбекистана в прошлую пятницу, 20 декабря 2024 г. Хьюз выдвинул предложение внести изменения в законодательство, позволяющие хранить персональные данные и банковскую информацию с использованием облачных технологий. Президент отметил серьезность вопроса и подчеркнул необходимость продуманного решения.
🎞Видеозапись этого фрагмента диалога приводит Kun.uz

🧐Со своей стороны отметим, что сейчас в стране нет ни одного официального документа, который бы запрещал использование облачных технологий для обработки персональных данных, тем более внутри страны. Так же как нет запрета на трансграничную передачу ПДн и обработку их за рубежом, при выполнении статьи 27.1 закона “О персональных данных”. Трансграничная передача ПДн тоже прямо предусмотрена законом.
Но в отсутствии официальных и публичных разъяснений от регуляторов предприниматели руководствуются принципом “все что явно не разрешено - то запрещено”. Потому что при очередной проверке объяснить почему это вы используете арендованный сервер в дата-центре, а не строите свой собственный дорогущий ЦОД будет сложно. Ведь у проверяющего будет своё мнение и скорее всего очень консервативное.
🤔При этом погруженные “в тему” понимают что почти все уже используют и облака, и трансграничную передачу (проводили опрос тут).

Возвращаясь к теме поднятой Оливером Хьюзом - по сути даже не требуется вносить какие-то изменения в законодательство. Наше регулирование плюс-минус такое же как у соседей. Нужны комментарии регуляторов по применению норм, разбор схем - как правильно (например так). Ну и конечно нужно размещение комментариев на официальных сайтах, чтобы потом при проверке можно было сослаться на позицию регулирующего органа. Сейчас этого нет.

🗞🇺🇿Одно из отчественных СМИ сообщило о проблемах с работой некоторых протоколов (упоминается TLS 1.3) в Узбекистане.

При этом пока никаких новостей по этой теме в каналах официальных ведомств, курирующих сферу ИКТ - нет.
⚒️В этой связи можно напомнить о прекрасном инструменте ssllabs.com. Там можно посмотреть какие протоколы поддерживает и ваш браузер.
Также можно посмотреть какую версию TLS использует браузер для работы с конкретным сервером используя “инструмент разработчика” прямо в любом браузере:
1. Откройте сайт с HTTPS-соединением.
2. Нажмите F12 или Ctrl+Shift+I , чтобы открыть инструменты разработчика.
3. Перейдите на вкладку Network (Сеть) и обновите страницу (нажмите F5).
4. Выберите запрос к главной странице (обычно это первый элемент списка).В разделе Security (Безопасность) можно увидеть информацию о протоколе TLS.

Вдвойне странно выглядит предположение о причинах возможного ограничения работы некоторых протоколов, упоминаемых Podrobno.uz: "Некоторые ресурсы начали использовать эти протоколы для сокрытия персональных данных, поэтому их решили заблокировать"

Вообще-то криптографическая защита персональных данных это прямая обязанность оператора персональных данных. Про это сказано в п.30.9 приказа МинЮста №3478:

В целях обеспечения защиты персональных данных собственник и (или) оператор обязаны обеспечить использование средств криптографической защиты информации для персональных данных ограниченного доступа

👨‍🏫В общем сейчас рекомендуется использовать TLS 1.2 и 1.3. Настоятельно рекомендуется отказываться от “младших” версий и уж точно недопустимо использование старых протоколов SSL, так как они призваны уязвимыми. Об этом пишут и PCI Council и Microsoft.

🔎🇺🇿Продолжая изучать документ об организации азартных игр в Узбекистане, обнаружили несколько интересных моментов.

Пунктом 9. б) прил.№ 3 к ПКМ № 814 от 6.12.2024 предусмотрено:

Информационная система, используемая организатором игры в процессе проверки и идентификации личности клиента отправляет запрос (по представленным клиентом данным) в центральную базу данных и получает из неё:
...
сведения о поле, стране рождения, месте рождения, национальности, гражданстве и месте постоянного или временного проживания;

Возникает резонный вопрос - зачем организатору лотереи знать национальность игрока? Какова цель и как этом может ему помочь? Неужели ПИНФЛа, номера паспорта и биометрической фотографии недостаточно чтобы точно идентифицировать игрока?

Вторая сложность - сведения о национальности однозначно относятся к специальным персональным данным (ст.25 закона "О ПДн") и их обработка наиболее строго регулируется, а в общем случае вообще запрещена. Да, в законе так и написано:

Обработка специальных персональных данных запрещается, за исключением случаев, предусмотренных частью третьей настоящей статьи.

Настолько большие объемы обрабатываемых ПДн однозначно потребуют наличия DPO у каждого букмекера. Где на рынке труда их найдут - неясно, ведь их пока нет даже у некоторых крупных отечественных банков.

Мы же напоминаем про наш семинар «Персональные данные в Узбекистане»

Действительно ли необходимо хранить информацию о национальности игрока в базе данных букмекера?
👍Да, это усилит защиту
👎Нет, это требование явно излишнее
🤔Не могу определиться, наверное есть какие-то тонкости

🗞Интервью с начальником Центра кибербезопасности МВД РУз приводит Spot. Большинство мошеннических схем стары и прекрасно знакомы читателя канала.
📞Из впервые упоминаемого на таком уровне - подмена номера звонящего:

Мошенники, используя интернет-телефонию, могут подделывать номера телефонов, так что на экране вашего устройства отображается любой желаемый ими номер. Если вы получили подозрительный звонок, рекомендуется сбросить его и самостоятельно перезвонить на этот номер. В большинстве случаев вы обнаружите, что номер либо не существует, либо на другом конце ответит человек, не имеющий никакого отношения к мошенничеству.

Тут дело не в использовании интернет-телефонии, а существующей уязвимости в системе сигнализации ОКС-7 (SS7), используемой в системах телефонии по всему миру. Хорошее объяснение уязвимости ОКС-7 (SS7) здесь.
😡К сожалению, от использования такой схемы пострадали уже и некоторые наши знакомые. Их номера использовали для подмены мошенники для звонков своим жертвам. Устранить уязвимость можно было бы разом перейдя на другую систему сигнализации по всему миру. А так как это практически невозможно, проблема эта останется с нами ещё многие годы. Поэтому тут нужно хотя бы знать, что такая схема возможна и скептически относиться к номеру, отображаемому при входящем звонке.

Вы знали о существовании уязвимости из-за которой можно подменять номер звонящего?
👍Да, знаю о такой проблеме
🤔Не верю что это возможно на практике
👎Нет, впервые узнал(а) только что

🎰Интересные аспекты регулирования ИТ и защиты ПДн поднимаются в ПКМ-е о требованиях к организаторам азартных игр, лотерей и ставок в интернете. Разбор документа сделали Gazeta.uz и Spot.

В этой связи обращают на себя внимание два вопроса:
🌍1. Определение принадлежности IP-адреса к Узбекистану
Все клиенты букмекеров, онлайн-игр и онлайн-лотерей должны проходить цифровую (удаленную) идентификацию. Процедура может проводиться только с IP-адреса либо номера телефона, относящегося к Узбекистану или стране, гражданином которой является клиент-иностранец.
Если с номером телефона просто, то с определением “географии” ip-адреса всё сложнее. Провайдеры покупают и продают IPv4 адреса на рынке, привязка постоянно меняется. Организатором игрищ нужно будет озаботится тем как они верифицируют привязку ip-адреса к Узбекистану и как они смогут это подтвердить в случае спорной ситуации.
Эксперты предполагают два вариант решения:
- Использовать сервис Whois от от регионального интернет-регистратора RIPE NCC (правильнее).
- Использование фильтрации по спискам подсетей TAS-IX (хуже, слишком грубо).

🛂2. Создание отдельной базы, содержащей значительные объемы персональных данных.
НАПП отвечает за ведение Единого государственного регистра ставок и игроков (ЕГРСИ), оператором которого выступит Uzinfocom.
Клиент(игрок) обязан предоставить организатору свое фото и отсканированную копию идентификационного документа (паспорт, ID-карта). Для верификации будут использоваться данные из центральной базы электронного правительства. Если найти сведения о клиенте не удалось, представитель организатора может заверить личность по видеосвязи.
То есть появится полноценная база данных игроков со всем-всеми данными, раз даже предусмотрена биометрическая идентификация и будет хранение истории транзакций и выплат по выигрышам.

📝Обновили нашу статью “Краткий анализ нормативной базы по информационной безопасности в Узбекистане”. Впервые она была опубликована в ноябре 2014 и периодически актуализируется. Статья будет полезна молодым специалистам в сфере ИБ, комплаенса и тем кто пробует разобраться в защите персональных данных.

🆕Что нового?
- Добавлена Конституция Республики Узбекистан в новой редакции. С 2023 года в тексте основного закона упоминается интернет и право на защиту своих персональных данных.
- Добавили Закон "Об электронной цифровой подписи" в новой редакции.
- Актуализировали документы ЦБ РУз по ИБ, приказы МинЮста и СГБ.

🗞Краткий анализ нормативной базы по информационной безопасности в Узбекистане.

Показательный кейс коллизии законодательства о персональных данных и здравоохранения в Узбекистане подсветили в Gazeta.uz.

Подробнее можно послушать по таймкоду, но кратко ситуация такая:
В Узбекистане возникла необходимость создания канцер-регистра - информационной системы отслеживания больных раком в масштабах страны, изучения и управления лечением. Международная организация (МАИР) предлагала готовое бесплатное решение - свою собственную разработку, которая размещается на их же серверах за рубежом. Но из-за требований по локализации обработки ПДн (ст.27.1 необходимость физического оборудования на территории Узбекистана), готовое, бесплатное, испытанное облачное решение было отвергнуто.
Вместо этого пришлось изыскивать средства в размере миллиона долларов на приобретение оборудования и ПО для создание локализованного канцер-регистра. По этой же причине сам регистр начал разворачиваться только в апреле 2024 года, хотя постановление о его создании вышло в 2017 году.

👩🏻‍💻Что же можно предложить чтобы из-за требований закона действительно важные инициативы не буксовали годами?
1️⃣. Сделать достаточным чтобы оператор был резидентом Узбекистана и зарегистрировал базу госреестре. В этом случае можно было бы не требовать размещения серверов в Узбекистане. Ведь сейчас строго по закону можно разместить базу в стране, сделать сбор, а потом осуществить трансграничную обработку ПДн и обрабатывать их далее уже в облаке.
Наличие базы физически на территории страны не сильно влияет на вероятность утечки. При пренебрежении ИБ утечка может произойти и с локального сервера, и из облака.
2️⃣. Если оператор - нерезидент, тогда требование по локализации обработки оправдано, так как это единственный способ в случае чего призвать его к ответу, найти и оштрафовать. Если оператор ПДн - резидент, то ответственного найти не составит труда, как минимум это руководитель предприятия.
3️⃣. В крайнем случае для таких жизненно-важных проектов предусматривать так называемый особый правовой режим. Причём, он сейчас уже есть, но (неожиданно) только для некоторых иностранных компаний (писали об этом тут).

🤔Иначе получается странная картина. Многие коммерческие компании (типа страховых) спокойно работают, не делая ничего в части защиты ПДн, а действительно важная инициатива буксует так как её создатели стараются придерживаться требований закона.

🇺🇿Произошли обновления среди некоторых национальных стандартов Республики Узбекистан по информационной безопасности и кибербезопасности.

🔄Приняты новые версии:
Национальный стандарт Узбекистана OʻzМSt ISO/IEC 27005:2024 (ISO/IEC 27005:2022, IDT) Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство по управлению рисками информационной безопасности

Национальный стандарт Узбекистана OʻzMSt ISO/IEC 27014:2024 (ISO/IEC 27014:2020, IDT) Информационная безопасность, кибербезопасность и защита конфиденциальности. Управление информационной безопасностью

🆕Принят впервые:
Национальный стандарт Узбекистана OʻzMSt ISO/IEC 27400:2024 (ISO/IEC 27400:2022, IDT) Кибербезопасность. Безопасность и приватность интернета вещей. Руководящие указания

Всем специалистам по ИБ и кибербезопасности следует обратить внимание на следующие особенности:
1. Теперь все стандарты в Узбекистане называются “Национальные стандарты” и обозначаются OʻzMSt, а не “государственные стандарты” обозначаемые Oʻz DSt.
В законе РУз “О стандартизации” на этот счёт есть отдельное указание:

Статья 31.
Действующие стандарты Республики Узбекистан и соответствующие документы, принятые до вступления в силу настоящего Закона с обозначением аббревиатуры O‘zDSt, считаются национальными стандартами и должны быть пересмотрены в течение пяти лет со дня вступления в силу настоящего Закона. [то есть до 05.11.2028, прим.ITTS]

2.Основной стандарт по ИБ в Узбекистане Oʻz DSt ISO/IEC 27001:2020 пока остался без изменений и идентичен предыдущей версии международного ISO/IEC 27001:2013. В то время как сам международный стандарт два года назад вышел в новой версии ISO/IEC 27001:2022.

😕Неожиданный вопрос прозвучал на прошедшем в минувшую субботу собрании CIO CLUB Uzbekistan - когда в стране будет принят закон обязывающий предприятия использовать только лицензионное ПО?

Модератор дискуссии (А.Далимов) тут же отметил что для регулирования этой сферы уже есть, например, закон Республики Узбекистан “О правовой охране программ для электронных вычислительных машин и баз данных”
В нем есть такое:

Статья 3. Объект правовой охраны
Программы для ЭВМ и базы данных относятся настоящим Законом к объектам авторского права.

🌐Подобное требование требование есть даже в основном международном стандарте по ИБ - ISO/IEC 27001:2022

A.5.32 Права на интеллектуальную собственность
Организация должна внедрить соответствующие процедуры для защиты прав интеллектуальной собственности.

Так что можно использовать как минимум эти два документа в обосновании требований на выделение средств для приобретения ПО.

А у вас на предприятии всё используемое ПО лицензионное?
👍Да, или куплена лицензия, или используется Open Source
🤔Ой, всё совсем непросто с этим
👎Нет, у нас никакого лицензионного ПО нет