среда, 29 июня 2011 г.

В битве бобра с ослом побеждает ? ......

Все же бобро или осло ? ....

Это я по поводу вчерашней заметки Алексея Волкова о том, что с сайта Госдумы убрали новую редакцию 152-ФЗ ко второму и третьему чтению.

вторник, 28 июня 2011 г.

А Вы бы наняли на работу хакера ?

Сегодня прошла новость о том, что довольно известный хакер Геохот, устроился на работу в Facebook. Это уже не первый случай, когда известные компании нанимают на работу людей с соответствующим прошлым. Все это натолкнуло меня на мысль провести небольшой опрос. Итак, а Вы бы наняли на работу хакера (т.е. не того, кто себя таковым считает, а человека, о котором доподлинно известно, что он - киберпреступник) ?

Опрос здесь

воскресенье, 26 июня 2011 г.

П. Врублевский, владелец Хронопэй, арестован

В минувшую пятницу лефортовский суд Москвы выдал санкцию на арест генерального директора "ХроноПэй" Павла Врублевского. Главу крупнейшей российской процессинговой компании подозревают в организации хакерской атаки на сайт платежной системы ASSIST, имевшей место в октябре 2008 года.

И как логическое завершение — арест Павла Врублевского в аэропорту Шереметьево при возвращении из Мальдив, как организатора данной атаки.

Павел Врублевский - личность неоднозначная, ранее я уже писал о деятельности Хронопей.

Посмотрим чем дело кончится, особенно в свете всего того, что я написал в предыдущем посте.

суббота, 25 июня 2011 г.

Ужесточение наказания за хакерство

В нескольких футуристических фильмах, которые мне доводилось смотреть проскакивали фразы примерно такого содержания "В будущем хакерство было приравнено к экстремизму". Но вот насколько на самом деле нереален такой сценарий ? Сейчас в разных странах идет ужесточение наказаний за хакерскую деятельность. Вот, например, из свежего:
  • 20.06.2011 Верхняя палата парламента Японии утвердила дополнения к УК ужесточающие наказание за совершение киберпреступлений
  • 23.06.2011 В американском конгрессе начинаются слушания по законопроекту о кибербезопасности, внесенному администрацией Барака Обамы. Президент США предлагает увеличить срок тюремного заключения для хакеров до 20 лет.
  • 21.06.2011 Министры всех 27 стран, входящих в Европейский Союз, собрались, чтобы обсудить предложения Европейской Комиссии, касающиеся вопросам противодействия атакам, направленным на информационные системы.В черновом варианте обсуждался проект запрета «создания и выпуска хакерских инструментов, эксплуатируемых для совершения правонарушений»
Безусловно с хакерством необходимо бороться, но не стоит забывать, что у этой борьбы есть и обратная сторона. Так, в 2007 году в Германии был принят законопроект, согласно которому разработка любых программ, которые могут быть использованы для хакинга, стала противозаконной, подсудной деятельностью. Однако законодатели не учли, что те же инструменты используются и для проведения этического хакинга (или инче пентестов), в результате практически все сайты, на которых ранее хостились подобные утилиты были переведены в другие страны, также на территории Германии прекратились некоторые исследовательские проекты, связанные с информационной безопасностью, т.к. создаваемые исследователями утилиты могли быть использованы и для хакинга.

Ну а что же у нас ? Все к сожалению грустно, мы отстаем и в правовом и в техническом плане. Об этих проблемах буквально недавно на семинаре RISSPA высказывался Илья Сачков (Group-IB). Вот буквально 2 иллюстрации:

Леонида Куваева, известного спамера мирового масштаба, смогли у нас посадить только за изнасилования и педофилию. Не страдай он подобными отклонениями, "трудился" бы себе дальше.

А вот свежий пример того, что у нас за хакерство дают условные сроки, в то время как в Америке вполне себе реальные.

Такие вот дела, коллеги... есть над чем подумать...


P.S. В Турции, кстати, решили пойти еще дальше и наказывать всех, чей компьютер участвует в DDOS атаке.

вторник, 21 июня 2011 г.

Семинар RISSPA по теме Advanced Persistent Threat

Несколько часов назад вернулся с семинара RISSPA по теме Advanced Persistent Threat. Тема неоднозначная и для России еще совершенно новая, но в целом получилось неплохое мероприятие с обсуждением актуальных проблем и современных угроз в области информационной безопасности.

Семинар начался с выступления Марии Сидоровой, которая попыталась дать определение, что же такое APT и в чем проявляется, даже попыталась показать на примере собственных попыток найма хакера для взлома "сети жертвы", но детали раскрывать отказалась.

Саша Матросов рассказал про руткиты под 64-битную платформу. Аудитория конечно многое не поняла, т.к. некоторые вещи действительно были больше ориентированы на тех, кто много работает над реверсингом программного кода (таковых в зале скорее всего вообще не было), но мне выступление понравилось, всегда интересно послушать о приемах, которые хакеры закладывают в свои программные разработки.

Далее было довольно бойкое выступление Михаила Кондрашина, ему на мой взгляд удалось более точно приблизиться к тому, что такое APT и какие приемы могут быть использованы для выявления и противодействия.

И "на сладкое" оставили Илью Сачкова. Илья рассказывал про практику расследования компьютерных преступлений. Ооочень интересно ! И про то, как у нас ловят преступников, и как их не могут наказать из-за несовершенства нашего УК, про "крышевание" кибер-мошенников и опасности (реальные опасности) работы кибер-расследователя (дело то приходится иметь с преступниками).

Жене Климову и Компании "Код Безопасности" как всегда спасибо за организацию и проведение очередного семинара. Будем ждать новых мероприятий.

P.S. Могу ошибаться, но похоже были какие-то технические трудности с WebEx, поэтому все же, если вы в Москве, коллеги, я советую приходить на такие мероприятия лично.

понедельник, 20 июня 2011 г.

Сертификация СУИБ по ISO 27001

Несколько месяцев назад компания LETA, в которой в том числе работает ваш покорный слуга, прошла сертификацию системы управления ИБ в соответствии со стандартом ISO27001.

Для нас конечно же это не стало чем-то экстраординарным, т.к. подобные услуги мы оказываем давно. Тем не менее, как человек, участвоваший в этом проекте, хочу поделится некоторыми наблюдениями:
  • сертификация - вполне выполнимая цель, если все делать как надо, но если хотите добиться результата относительно быстро то лучше все же обратиться к тем, кто уже имеет опыт прохождения этой процедуры;
  • если в компании отсутствует система менеджмента ИБ, то на ее создание уйдет примерно 1 год, если в том или ином виде элементы управления присутствуют, то привести все в порядок можно и за полгода;
  • как бы не ругали сертификацию, но ее наличие является дополнительным фактором, дисциплинирующим практику ИБ в компании, т.к. наличие внешнего проверяющего, который с регулярностью будет оценивать состояние процессов управления ИБ, держит в тонусе всех ответственных лиц;
Кстати, в свете последних веяний по признанию стандартов по обеспечению ИБ в контексте требований 152-ФЗ, вполне реально внедрять СУИБ в т.ч. для защиты ПДн. А так как сандарт ISO 27001 еще и принят у нас в качестве ГОСТ, то тут вообще не придерешься.

четверг, 16 июня 2011 г.

Новая редакция закона о персональных данных

17-го июня Госдума собирается рассмотреть и возможно принять сразу во 2-м и 3-м чтении новую редакцию 152-ФЗ "О персональных данных".

Неплохой анализ нововведений уже сделал в своем блоге Алексей Волков, поэтому я ограничусь только дополнениями.

Т.к читать законопроект в отрыве от основного закона трудно, я сделал редакцию со всеми исправлениями (отмечено в документе желтым). Скачать ее можно здесь.

При всех безусловно позитивных сдвигах в документе, что смутило (я бы даже сказал огорчило) лично меня:

1) закон вступает в силу с 1 июля 2011 г, а решение о присоединении к какому-либо стандарту по безопасности (согласно требований закона) нужно тоже принять до 1 июля. Мне кажется это как-то не логично с правовой точки зрения

2) Законопроект вводит обязательство присоединения к какому-либо стандарту по безопасности (причем решение как я уже сказал нужно принять до 1 июля :) ). Зачем всех поголовно загонять под стандарты ? Ну я понимаю банки, телекомы, другие крупные отрасли.... но они про малый бизнес подумали ? Вот что делать, например, автосервисам ? Разрабатывать самим стандарт ? Более того, для большинства организаций подходы к защите ПДн будут очень схожи. Тут скорее нужен стандарт на уровне государства. Что-то вроде ISO 27001/27002. Но даже в этой ситуации нельзя делать такую обязаловку.

3) В законопроекте ничего не сказано об ответственности оператора в случае утечки персональных данных. Понятно, что теоретически можно обратиться в суд за возмещением морального и материального вреда. Но... мы же знаем как у нас суды работают. Таким образом мы получаем, что контроля со стороны ФСТЭК и ФСБ больше нет, есть только РКН, который может вынести предупреждение. Короче у нас как и прежде будут больше боятся проверяющих и не думать о реальной защите. А это грустно, коллеги...

Обновление 01.07.2011.
Все снова круто поменялось, см. здесь

среда, 15 июня 2011 г.

Закон "О национальной платежной системе" прошел госдуму

14 июня Государственная дума сразу во 2-м и 3-м чтении приняла законопроект № 455931-5
"О национальной платежной системе".

Электронная карта документа доступна здесь.

Для тех, кто не любит искать, текст документа здесь.

Помимо этого вкупе с этим документом был принят законопроект о внесении изменений в другие законодательные акты в связи с принятием закона "О национальной платежной системе". Карта документа здесь.

Возвращаясь к теме. Сам по себе законопроект занимает аж 128 (!) страниц. По сути он вводит понятие национальной платежной системы и просто платежной системы (к которым видимо будут приравнены международные системы VISA, MasterCard и других). Я выделил некоторые наиболее значимые абзацы законопроекта, которые будут нужны в работе специалисту по информационной безопасности:

Статья 2. п.3
Центральный банк Российской Федерации (Банк России) в пределах своих полномочий в случаях, предусмотренных настоящим Федеральным законом и иными федеральными законами, может принимать нормативные акты в целях регулирования отношений в национальной платежной системе.

Т.е главным в национальной платежной системе будет ЦБ (что не удивительно).

Статья 9 пп. 11-16
11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
13. В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента.
14. В случае, если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи и клиент не направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента.
15. В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента - физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица.
16. Положения части 15 настоящей статьи в части обязанности оператора по переводу денежных средств возместить сумму операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления, не применяются в случае совершения операции с использованием клиентом - физическим лицом электронного средства платежа, предусмотренного частью 4 статьи 10 настоящего Федерального закона
.

Говоря простым языком, теперь в случае хищения денежных средств со счета клиента банк будет за все в ответе ! Ну коллеги, теперь вам карты в руки, выбивать бюджеты на безопасность станет проще.

Статья 15. пп.4 -5

4. Банк России осуществляет деятельность оператора платежной системы на основании настоящего Федерального закона в соответствии с нормативными актами Банка России и заключаемыми договорами.

5. Оператор платежной системы обязан:
1) определять правила платежной системы, организовывать и осуществлять контроль за их соблюдением участниками платежной системы, операторами услуг платежной инфраструктуры;

Еще одно подтверждение что все правила в национальной платежной системе будет определять ЦБ

Статья 20 п. 1
1. Правилами платежной системы должны определяться:
...
19) требования к защите информации;

....

Ага, значит к правилам относятся и вопросы защиты информации, что также было ожидаемо.

Статья 26. Обеспечение банковской тайны в платежной системе
Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры и банковские платежные агенты (субагенты) обязаны гарантировать банковскую тайну в соответствии с законодательством Российской Федерации о банках и банковской деятельности.

Тут, что называется ноу комментс, все понятно.

Статья 27. Обеспечение защиты информации в платежной системе1. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации.
2. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с защищаемой информацией.3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи.

Вот эта самая интересная и противоречивая статья. Во-первых порадовало "Операторы по переводу денежных средств, банковские платежные агенты....обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности...." защищать информацию и методах защиты - это конечно же самое важное !

Во-вторых смутила фраза "Контроль и надзор за выполнением требований... осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации". Так все-таки ФСТЭК и ФСБ будут осуществлять контроль и надзор за выполнением требований по защите информации ? Либо я что-то не понял, либо здесь какая-то мешанина из регуляторов.

Ну и части надзора со стороны ЦБ:

Статья 32. Осуществление надзора в национальной платежной системе

1. При осуществлении надзора в национальной платежной системе Банк России:
1) анализирует документы и информацию (в том числе данные отчетности), которые касаются деятельности поднадзорных организаций и участников платежных систем, а также организации и функционирования платежных систем;
2) проводит инспекционные проверки поднадзорных организаций в соответствии со статьей 33 настоящего Федерального закона;
3) осуществляет действия и применяет меры принуждения в соответствии со статьей 34 настоящего Федерального закона в случае нарушения поднадзорными организациями требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России.
2. Банк России определяет формы и сроки предоставления отчетности, в том числе в виде отчетности поднадзорной организации и сводной отчетности по платежной системе, методику составления указанной отчетности.
3. При осуществлении надзора в национальной платежной системе Банк России вправе запрашивать и получать от поднадзорных организаций и участников платежной системы документы и иную необходимую информацию, в том числе содержащую персональные данные.
4. Порядок осуществления надзора в национальной платежной системе определяется в соответствии с нормативными актами Банка России.

Статья 33. Порядок проведения инспекционных проверок поднадзорных организаций

1. Банк России проводит плановые инспекционные проверки поднадзорных организаций не чаще одного раза в два года в соответствии с утвержденным Банком России планом проверок.
2. При нарушении бесперебойности функционирования значимой платежной системы Банк России проводит внеплановые инспекционные проверки.

Twitter, Facebook, Вконтакте и др. на службе преступников

В общем-то это не секрет, что в наше время социальные сети активно используются преступниками для совершения различных противоправных действий. И одна из наиболее привлекательных опций - это определение вашего местоположения.

Сейчас сообщить своим друзьям и коллегам (а точнее всем вашим контактам, некоторых из которых вы даже возможно никогда не видели лично) о своем местоположении можно в большинстве соцсетей. В Facebook, например, эта опция называется Facebook places. В LinkedIn есть приложение My Travel, благодаря которому можно сообщать коллегам о том, что собираетесь в поездку (указывая дату и место). В соцести Вконтакте сервис геолокации называется "Места". Есть даже специализированные сети, вроде foursquare, которые могут в том числе транслировать ваше местоположение в Twitter.

А вот собственно к чему это иногда может приводить:

В Нью-Хемпшире банда преступников осуществила более 50 проникновений в дома с целью ограбления, используя для планирования ограблений сведения из facebook. Подробности тут.

В недавнем похищении сына Евгения Касперского предположительно использовались данные из его профиля в соцсети.

Исследование, проведенное в Великобритании, показало, что 51% детей сообщают в сети о семейных планах на выходные, что может стать для преступников знаком о том, что дом будет пустовать. При этом 44% опрошенных заявили, что у них в друзьях есть люди, которых они ни разу не встречали.

Сейчас на дворе лето - пора дач и отпусков. Будьте осторожнее !

вторник, 14 июня 2011 г.

Defcon в Санкт-Петербурге

Питерские коллеги, похоже у вас намечается завтра (15.06.2011) интересное мероприятие:


Поделитесь впечатлениями если кто-то пойдет.

понедельник, 13 июня 2011 г.

Рейтинг блогов по информационной безопасности

Тарас Злонов сделал подборку блогов рунета по тематике информационной безопасности. С учетом рейтинга Яндекс мой блог там на 5-м месте. Даже несколько удивительно, т.к. мне думалось что блог Алексея Лукацкого один из самых читаемых. Возможно Яндекс просто не в курсе :)

Коллеги, давайте попробуем создать альтернативный рейтинг. Какому блогу вы бы присвоили 1-е место ?

суббота, 11 июня 2011 г.

IV Межотраслевой форум директоров ИБ - мои 5 копеек :)

Так как о прошедшем на этой неделе форуме уже высказались в своих блогах мои коллеги (Алексей Волков, Алексей Лукацкий, Евгений Царев), то я не буду особо много говорить.

Я солидарен с мнением, что действительно можно смело сократить количество докладчиков в пользу более содержательных выступлений действительно стоящих людей. В качестве иллюстрации к моему комментарию цитата, которую произнес один из докладчиков, начиная свое выступление: «Коллеги, я позволю себе отнять 20 минут вашей жизни для того, чтобы рассказать примерно то, что вы и без меня уже знаете». Занавес !

Действительно общение в кулуарах порой было интереснее некоторых выступлений, но это тоже неплохо, такое общение должно быть и может быть для него тоже нужно создавать условия (больше времени, больше пространства).

Все конечно же говорят про выступление Е.К. Волчинской. Поэтому, коллеги, чтобы не травить вас размышлениями о том, насколько это было интересно и информативно, выкладываю запись ее выступления тут. Оцените сами.

Мой совместный доклад с С.А. Касиной был посвящен работе по созданию отраслевых стандартов для пенсионных фондов. Запись лежит здесь.

View more presentations from abondarenko
Еще одним положительным моментом было то, что в рамках форума мне, наконец, довелось лично познакомиться с Алексеем Волковым, очень позитивным человеком и интересным собеседником!

понедельник, 6 июня 2011 г.

CompTIA обновила экзамен Security+

Организация CompTIA в конце мая выпустила новую версию сертификационного тренинга и экзамена Security+. Данная сертификация не так хорошо известна у нас в России, но на самом деле является довольно неплохой и активно развивающейся. CompTIA даже провела аккредитацию этой сертификации в международной организации ISO.

Лично я в свое время получал этот сертификат и помимо массы полезных знаний я еще и получил возможность зачесть ее в качестве 1 года опыта при получении сертификатов CISA и CISSP.

Экзамен CompTIA Security+ покрывает следующие домены безопасности:

Topic

% of Exam

Network Security

21%

Compliance & Operational Security

18%

Threats & Vulnerabilites

21%

Application, Data & Host Security

16%

Access Control & Identity Management

13%

Cryptography

11%

Total

100%


Экзамен состоит из 100 вопросов, на которые нужно ответить за 90 минут. В Москве экзамен можно сдать в нескольких центрах, стоимость - около 10 тыс. рублей.

P.S. Подробности о сертификации тут и тут.

пятница, 3 июня 2011 г.

Пятничный offtopic - про добрые дела

Коллеги, заранее извиняюсь за offtop. Просто в последнее время в блогах и различных интернет-публикациях все чаще встречаешь различные высказывания и дискуссии на тему того, как у нас все хреново, тут не так, здесь не эдак. Для москвичей стало модным говорить "вот при Лужкове такого не было"... и небо было синее и воздух чище....

Наверное это нормально в преддверии выборов. Скажу сразу, что лично я тоже недоволен очень многими вещами, но как говаривал профессор Преображенский (в повести "Собачье сердце"):

"разруха она в головах! если каждый будет мочиться мимо унитаза, тогда и наступит разруха!"

Наше общество и страна болеет... болезнь дает осложнения и моментально выздороветь нам не удастся... но в конечном итоге все зависит от каждого из нас.

Вот задайте себе сами вопрос, что вы за последнее время сделали для того, чтобы мир вокруг вас стал немного лучше и добрее ? Когда вы последний раз жертвовали деньги на больных, сирот ?.... вы сдавали кровь ? ... да хотя бы элементарно, пропускаете ли вы на дороге пешеходов когда за рулем ?

Возмущение и недовольство - это нормально, так и должно быть, но оно должно сопровождаться еще и конкретными делами (и совсем не обязательно погромами и революциями).

Вот такие вот мысли, коллеги ! Всем хороших выходных !

P.S. Кстати если говорить о пожертвованиях, то в газете Коммерсант регулярно публикуются сообщения от людей, которым нужна помощь. Я сам периодически жертвую небольшие суммы денег. Вот на днях 1 тыс. руб. отдал вот этой девочке.

Yota ищет менеджера по информационной безопасности

Во время недавней лекции в Санкт-Петербурге меня спрашивали о возможностях для трудоустройства специалиста по ИБ в этом городе. Честно скажу, что я не слежу за рынком труда в Питере, поэтому не смог дать каких-то конкретных советов. И вот вчера на глаза попалась в LinkedIn вакансия от компании Yota.

Прошу:


среда, 1 июня 2011 г.

Dr.Web для студентов

Еще одно хорошее начинание по части развития нашей молодежи. В этот раз отличилась компания Dr.Web.

Компания «Доктор Веб» информирует о том, что заочное обучение для получения статуса специалиста по администрированию продуктов Dr.Web становится для студентов бесплатным.

Заочная форма обучения позволяет соискателям самостоятельно изучить учебные материалы по продуктам Dr.Web, сдать экзамен экстерном и получить сертификат специалиста удаленно.

Студенты получают возможность познакомиться с продуктами Dr.Web «вживую», при помощи сервиса онлайн-тестирования Dr.Web LiveDemo, получить консультации специалистов Dr.Web, а также стать обладателями лицензии на лечащую утилиту Dr.Web CureNet! для проверки и лечения локальных сетей.

Для прохождения бесплатной сертификации студентам необходимо зарегистрироваться на сайте «Доктор Веб», приложить сканкопию студенческого билета, указать вуз и ФИО своего научного руководителя. После этого будет доступен личный кабинет, в котором находятся все необходимые материалы, а также ссылка для сдачи сертификационного онлайн-экзамена. В случае успешной сдачи оригинал сертификата высылается по почте.

Все остальные подробности здесь.