17.04.14

Подходы к оценке соответствия требуют коренного пересмотра

В последние дни что-то часто опять стала подниматься тема оценки соответствия по информационной безопасности. Поэтому решил разродиться парочкой заметок по этой теме. Давайте начнем с определения. Согласно ФЗ-184 "оценка соответствия - это прямое или косвенное определение соблюдения требований, предъявляемых к объекту". Очень простое и емкое определение, за которым скрывается очень много уровней и подводных камней. Именно эта емкость и подсказывает, что форм оценки соответствия может быть (и должно быть) больше одной.

Сегодня у нас регулятор (что ФСТЭК, что ФСБ) воспринимают только дискретную и детерминированную оценку соответствия. Есть средство защиты информации. Сняли с него контрольные суммы, зафиксировали и... "забыли" про его изменения. Во время появления 608-го Постановления Правительства "О сертификации средств защиты информации" (а это 95-й год) сертификации подлежали только средства защиты гостайны, которые не менялись годами; как, собственно, и сама защищаемая информация. Поэтому детерминизм и дискретность работали неплохо. Раз в 3 или 5 лет можно было обновлять сертификат; средство защиты обновлялись примерно с той же периодичностью. Все были довольны, всех все устраивало. Сегодня ситуация другая. Жизненный цикл разработки новых версий давно уже либо короче, либо сопоставим с длительностью сертификации. К моменту выхода сертифицированной версии, она уже успевает устареть, а то и вовсем оказаться снятой с производства. И в чем тогда сакральный смысл этой сертификации, если она не решает основной своей задачи?

Идем дальше. В 90-х понятие уязвимость хоть и существовало, но не было такого количества исследователей, инструментов, баз данных дыр. Сегодня все это есть. Дыры обнаруживаются ежедневно, а многие так скрытно и дремлют, дожидаясь своего часа. И вновь дискретность при сертификации играет злую шутку, т.к. после сертификации или в самом проверенном продукте, или в среде его функционирования может быть найдена дыра, которая сводит на нет весь процесс оценки соответствия. Сертификат есть, а смысла в нем нет, т.к. защищенность снижена.

Наконец, сегодня нередки ситуации, когда система защиты сама видоизменяется, следуя за изменчивой природой нейтрализуемых угроз. Не детерминированная и статическая, а динамическая и постоянно изменяющаяся. В такой ситуации тоже трудно зафиксировать конечное состояние, неизменность которого и будет гарантировать факт оценки соответствия. Возьмем, к примеру, некоторые средства защиты, которые при развертывании "привязываются" к своей аппаратной платформе. У них на каждом устройстве своя контрольная сумма. ПО одно и тоже. Версия одна и таже. А контрольные суммы разные. Или виртуализация. Сегодня у меня виртуальная машина со средствами защиты находится в Москве на сервере Cisco UCS C200, а завтра перекочевала в Хабаровск на сервер Cisco UCS B. Защита та же, уровень защищенности тот же. А среда функционирования поменялась. И как тут быть с текущими подходами к сертификации, принятыми в ФСТЭК и ФСБ?

Ну про проблемы с действующей системой сертификации известно не только мне - про нее и регулятор даже говорит. Вопрос в другом - делать-то что? Менять только подходы к сертификации бесперспективно. Они все равно устареют через какое-то время. Тут нужна целая стратегия и набор методов по оценке соответствия, принимаемых в зависимости от ситуации. В качестве исходных данных для выбора метода оценки соответствия я бы выбрал следующие (навскидку, не претендуя на полноту):

  • Тип потребителя. Требования для госов и бизнеса, для КВО и малых предприятий врядли будут и должны совпадать.
  • Уровень значимости защищаемой информации. Общедоступные данные и гостайна требуют разных затрат и ресурсов на оценку соответствия.
  • Объект защиты. ПО и облако, железо и виртуальная машина, микрочип и прикладной софт должны оцениваться по-разному.
  • Этап жизненного цикла системы защиты. Вот тут требуется пояснение. У нас принято, что оценка соответствия должна проводиться либо до ввода системы защиты в промышленную эксплуатацию, либо с заданной периодичностью (например, раз в три года). А что делать в процессе эксплуатации? В условиях APT, когда между проникновением и кражей информации проходят минуты, а между проникновением и обнаружением - месяцы, столь длительные интервалы времени между оценками - непозволительная роскошь. Даже полгода и то много. Процесс оценки соответствия на этапе эксплуатации должен быть непрерывным.
  • Доступность объекта оценки. Недавно один заказчик сертифицировал партию Cisco Pix по требованиям безопасности. На фоне сообщения ФСТЭК о завершении поддержки сертифицированной Windows XP факт сертификации Cisco Pix, который сняли с производства в 2008-м году, достаточно интересен, но тут важно другое. Как оценивать то, что используется, но уже не выпускается? Обычная сертификация тут не работает, но может помочь пентест в режиме черного ящика.
  • Доступность стенда для развертывания объекта оценки. Вот возьмем антивирус. С его оценкой соответствия проблем особых нет - взял, поставил, погонял на стенде, получил результаты. Оставим за скобками, что в реальных условиях результаты могут быть немного иными (вот тут пример). А если у нас речь идет о системе ИБ электростанции или иного столь редкого объекта, что стенда просто нет? 
  • Глубина оценки. Если мне надо поискать недокументированные возможности в исходном коде, то уровень такой проверки может быть совершенно разный (опять же зависит от задач). Можно замутить многомесячные сертификационные испытания на отсутствие НДВ (и пропустить при этом кучу уязвимостей), а можно прогнать софт с помощью облачного Appercut и оперативно получить экспресс-оценку всего за несколько часов. 
  • Оценщик. Наконец, важно понимать, что оценку может проводить не только внешняя организация. Иногда достаточно и самооценки. При соблюдении определенных условий она может быть вполне адекватной и независимой. Но при этом может быть организована оперативнее, дешевле, а местами и эффективнее.

Ситуация с оценкой соответствия по требованиям информационной безопасности сегодня очень непростая. Угрозы усложняются и становятся скрытнее и динамичнее. Среда функционирования также эволюционирует и сложно предсказать, что будет завтра. В такой недетерминированной и недискретной среде старые методы оценки соответствия (в виде единственно признаваемой сертификации) уже не работают. Дальше ситуация будет только  ухудшаться. Регуляторам, если, конечно, перед ними стоит задача повышения уровня защищенности российских организаций, а не выполнение "галочных" норм и недопущение на рынок "посторонних", нужно пересматривать свои взгляды на этот вопрос.

"Всех впускать - никого не выпускать". Об однонаправленных МСЭ

С пару недель назад имел беседу с коллегой, который пытался доказать, что в технологических сетях имеют право на жизнь только однонаправленные межсетевые экраны, т.к. они обеспечивают идеальную защиту индустриальных сегментов от направленных или случайных воздействий. А вчера услышал про идею стартапа о создании "чисто российского" однонаправленного МСЭ (на волне разговоров об импортозамещении очень модная тема).

Собственно, критиковать идею однонаправленных МСЭ я не планирую. Она вполне себе ничего. Ничем не лучше и не хуже других средств управления информационными потоками. Хотелось бы только заметить, что в индустриальных системах важно учитывать технологию, в т.ч. и технологию обработки информации, и под нее подстраивать средства защиты, а не наоборот. Ключевой принцип, в т.ч. зафиксированный и в последних документах ФСТЭК, "система защиты не должна мешать штатному и безопасному функционированию системы".

Возьмем к примеру передачу диагностической информации из индустриального сегмента. Тут, безусловно, однонаправленному МСЭ самое место. Он будет разрешать передавать данные только в одном направлении и блокировать любые иные коммуникации. А теперь возьмем нефтепровод. С ним через однонаправленный МСЭ уже не пообщаешься, а технология требует взаимных коммуникаций. Мало собирать статистику об объемах нефтеперекачки, необходимо иметь возможность регулирования режима работы нефтепровода, который определяется его загрузкой, реологическими свойствами нефти, содержанием в ней парафина, воды, газа и т.п. Как в такой схеме найти месте однонаправленному МСЭ? Никак.

В западной практике однонаправленные МСЭ нашли свое активное применение преимущественно в электро- и ядерной энергетике и, в основном, для репликации данных из индустриальных сегментов в бизнес-сеть. И хотя существуют немалое количество доводов "за" (преимущественно с точки зрения безопасности) применение данной технологии, безоглядно начинать ее использовать в АСУ ТП не стоит. В любом случае, при принятии решения о переходе на однонаправленные МСЭ стоит подумать вот о каких вопросах:

  • Защищаемый сегмент подразумевает двунаправленную или однонаправленную передачу данных?
  • Используемые в сегменте протоколы работают в однонаправленной среде? Те же OPC, DNP3, Modbus надо зачастую переписывать в виде своих агентов, чтобы они работали в однонаправленной среде.
  • Как обеспечивается высокая доступность? Квитирование, номера подтверждения, биты ошибок... Все это используется для обеспечения отказоустойчивости в обычной среде. Но в однонаправленном сегменте чем это будет заменено?
  • Как осуществляется управление полосой пропускания? Мы не можем через однонаправленное устройство послать команду "замедли передачу" или "ускорь ее".
  • Как осуществляется удаленное и централизованное управление однонаправленными устройствами? Особенно через глобальные сети.

15.04.14

А я опять про 8-й Центр ФСБ :-)

Вчера в Твиттере я опубликовал заметку такого содержания "Злорадно жду, когда 8-й Центр примет свой приказ по ПДн. Как же они поднасрут всем своим лицензиатам, работающим под Linux и не имеющим КА". Не все поняли ее смысла, поэтому решил чуть раскрыть ее суть.

Если мы посмотрим на 43-ю редакцию проекта приказа ФСБ по защите персональных данных, то там есть такой пассаж (п.14) "СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей... возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования".

Кстати, советую обратить внимание на эти приписки. Если у ФСТЭК в 21-м приказе класс сертификации средства защиты зависит только от уровня защищенности и прописывается вполне внятная таблица соответствия, то у ФСБ надо читать документ внимательнее. Вместо привязки класса сертификации СКЗИ к уровню защищенности (что логичнее и понятнее обывателю), 8-й Центр пошел по своей дороге и решил класс сертификации СКЗИ привязать к возможностям нарушителя, о которых должен подумать оператор ПДн (так себе и представляю, как главврач сельской больницы в перерыве между операциями думаю о возможностях нарушителя СКЗИ).

Так вернемся к упомянутому выше пассажу. Если читать его внимательно, то можно поставить знак равенства между двумя фразами "наличие исходных кодов на операционную систему" и "обязательное применение СКЗИ класса КА". В предыдущем пункте проекта приказа ФСБ написано тоже самое, но применительно к исходным текстам прикладного ПО, использующего вызовы СКЗИ. В этом случае СКЗИ должны быть минимум класса КВ. Но это не так важно. Дело в том, что сегодня, в условиях местами мифической для большинства пользователей угрозы импортозамещения иностранного ПО на что-то свое, доморощенное, все чаще всплывает тема применения решений open source. Хотя фраза "все чаще" звучит малость глуповато - тема линуксовых поделок в России поднимается уже много лет и пока безрезультатно. Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов и т.п. *никсов у нас родилось полно, но всех их отличает постройка на базе открытых исходников. Поэтому кто-то начинает задумываться о том, чтобы и вправду заменить проприетарные решения на open source, которые якобы безопаснее (это, кстати, не так). Или берут open source, добавляют туда что-нибудь свое и выдают за новый отечественный продукт. И вот тут-то и скрывается мина замедленного действия, которую всем нам готовит 8-й Центр ФСБ со своим приказом.

Если его примут, то любая СКЗИ, построенная на базе Linux, должна быть классом не ниже КА, чтобы ее можно было применять оператор ПДн даже для минимального, 4-го уровня защищенности. Любая! Т.е. сертифицировать-то такое СКЗИ можно и на КС1 и на КС3 и на КА, но по проекту приказа оператор ПДн обязан применять только КА и не ниже. При этом мнение разработчика тут мало кого будет волновать - нормативный документ требует КА. Использовать же отдельно СКЗИ для ПДн и отдельно для других видов конфиденциальной информации никто не будет - слишком накладно и неудобно. При этом, 8-й Центр за 6 лет активного вставления палок к колеса ФЗ-152 довел ситуацию до того, что все понимают, что ПДн - это наше все. Это 5 миллионов операторов ПДн по всей России. Никакая другая тема в ИБ не сравнится с ПДн по ее объему. Поэтому 8-й Центр и не отпускал ее ни на шаг от себя, пытаясь наложить лапу на столь лакомый для продвижения идеи национальной безопасности кусок. Добились своего - все всё поняли. Но теперь отыграть все назад и сказать, что можно применять не КА, а КС1 или КС2 будет нельзя. Неудобняк получится (хотя 8-му Центру не привыкать в таком положении находиться).

Вот и получится, что 8-й Центр своим приказом загонит всех потребителей на СКЗИ класса КА, а у нас их раз-два и обчелся (я статистику уже приводил). Посмотрите на самые распространенные VPN-решения в России - CSP VPN Gate от С-Терра, VipNet Coordinator от Инфотекса, Континент от Кода Безопасности, продукцию ЛИССИ и т.п. Они почти все построены на базе open source ОС - Linux, FreeBSD и т.п. И чтобы законно использовать такие VPN в качестве шлюза они должны быть сертифицированы на класс КА. А таковых почти нет. А те единицы, что есть, в управлении мягко скажем неудобны и без наличия большого количества выделенного персонала (а точнее выделенных шифрслужб) сеть даже из пары десятков VPN-шлюзов класса КА сама по себе летать не будет - ее придется поддерживать и поддерживать. В условиях нехватки специалистов на местах, я с трудом представляю, кто и как будет управлять такими VPN-сетями (про то, что по ним не работают современные мультимедийные и иные сетевые протоколы я скромно умолчу).  

Вот и получается, что 8-й Центр своим приказом подложит замечательную свинью своим разработчикам-лицензиатам, о которых 8-й Центр так печется. Разработчики тоже будут очень рады активизировать свои усилия по доработке своих продуктов под требования КА. Рынок труда администраторов VPN-шлюзов тоже вырастет, что не может не радовать наше Министерство труда и Минкомсвязи, которые так ратуют за рост численности ИТ-специалистов в России. А может в этом и состоит тайная задача 8-го Центра? Именно таким образом поднять с колен российскую ИБ-, а за ней и ИТ-индустрию! Есть и другая версия - 8-й Центр своим приказом хочет операторам ПДн сказать - делайте что хотите; нам наплевать на вас (хоть вас и 5 миллионов), на 140 миллионов субъектов ПДн, на рынок этой гражданской криптографии и защиту персональных данных. Мы напишем такой приказ, что пользоваться им будет невозможно и все забьют на защиту законных прав субъектов персональных данных. Зато мы, 8-й Центр сможем наконец-то сосредоточиться на высокой науке, на легковесной криптографии, на разработке новых алгоритмов шифрования и новых режимов работы старых алгоритмов! Ура! Все довольны!

ЗЫ. А тем временем, на сайте Российской общественной инициативы (РОИ) открыто голосование по интересной инициативе - "Передать полномочия по регулированию использования шифровальных (криптографических) средств защиты информации в Российской Федерации Федеральной службе по техническому и экспортному контролю (ФСТЭК России)". 

Новый обзорный курс по защите информации в государственных информационных системах

Перейдя на новую систему нормативных документов, ФСТЭК сделала благое дело и для тех, кто занимается разработкой курсов обучения :-) Достаточно досконально разобраться с защитными мерами для персональных данных, как 2/3 работы по государственным и муниципальным системам уже сделано. Достаточно обвесить ГИСовской тематикой и готов новый курс. Что, собственно, я и проделал, разработав обзорный курс "Защита информации в государственных и муниципальных информационных системах".

Программа следующая:

  1. История регулирования вопросов ИБ в государственных информационных системах
  2. Объект защиты
    • Государственная информационная система
    • Открытые данные
    • Персональные данные
    • Конфиденциальная информация
    • Служебная тайна
    • Сайт госоргана
    • Информационные системы общего пользования
    • Система межведомственного электронного документооборота (СМЭВ)
    • Системы электронного документооборота федеральных органов исполнительной власти
    • АСУ ТП
    • Сегмент Интернет для федеральных органов государственной власти
    • Информационные системы, предназначенные для информирования общественности о деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации
  3. Что такое государственная и муниципальная информационная система
    • Взгляды ФСТЭК, Минкомсвязи, различных госорганов и интеграторов
    • Подходы к классификации ГИС
      • Совместный приказ ФСТЭК/ФСБ №416/489
      • Приказ ФСТЭК №17
  4. Регуляторы по защите государственных информационных ресурсов и их нормативные акты
    • ФСТЭК
    • ФСБ
    • Минэкономразвития
    • Минкомсвязь
    • ФСО
    • Правительство РФ
    • Президент РФ
  5. Жизненный цикл системы обеспечения ИБ государственной информационной системы 
  6. Детальный разбор защитных мер 17-го приказа ФСТЭК
  7. Оценка соответствия по требованиям безопасности
    • Аттестация объекта информатизации: старые подходы и новые требования 
    • Сертификация средств защиты 
  8. Планы ФСТЭК по развитию нормативного регулирования ИБ в государственных и муниципальных учреждениях
Первый раз читать буду в УЦ "Маском" 28-го апреля.

14.04.14

43-я редакция проекта приказа ФСБ по ПДн - адский ад

Вот опять не выдержал и опять буду критиковать 8-й Центр ФСБ :-) Ну а как иначе? Не получается смотреть на то, что они делают и молчать. Выпущена уже 43-я редакция проекта приказа по защите ПДн. Нужное вроде бы дело. Все давно ждут этот документ; уже скоро 1,5 года как ждут. Все надеются, что документ ответит на основные вопросы, связанные с защитой персональных данных с помощью СКЗИ и у нас наконец-то появится первый официальный и легитимный документ от ФСБ по защите ПДн (а то у нас с момента принятия ФЗ-152 ФСБ на эту тему так ничего официально и не принимало).

У меня история взаимоотношений с этим документом давняя. Его впервые начала обсуждать еще в 2010-м году, когда руководство 8-го Центра санкционировало сбор предложений и мнений по имеющимся тогда двум нелегитимным методичкам. Мнения были высказаны и в немалом количестве. Уже тогда я обращал внимание на то, что выбранный 8-м Центром подход слишком жесток в отношении 99% операторов ПДн. Требования ФСБ не в состоянии не то, что выполнить, но и понять абсолютное большинство поликлиник, детсадов, школ, собесов, муниципальных учреждений, предприятий малого и среднего бизнеса. Худо-бедно требования 8-го Центра способны понять и местами попробовать выполнить только крупные организации, имеющие и бюджеты и выделенных людей на ИБ. Да и то, даже они не всегда способны взять и перевести все свои взаимодействия, в рамках которых осуществляется передача ПДн, на рельсы исключительно сертифицированных СКЗИ. Особенно тогда, когда сертифицированных СКЗИ нет и даже не предвидится.

Если сравнить действия 8-го Центра ФСБ с 2-м Управлением ФСТЭК, то картина складывается далеко нерадужная и не в пользу "криптографов". Работа над проектами своих приказов по защите ПДн в соответствие с последней редакцией ФЗ-152 ФСТЭК и ФСБ начинали одновременно - в 2011-м году. К концу 2012-го года у обоих ведомств проекты в той или иной степени готовности были уже готовы. Скажу даже больше. ФСТЭК начала работу с бОльшим опозданием, т.к. как я уже написал выше 8-й Центр свой приказ стал готовить задолго до обновления ФЗ-152, желая придать своим двум методичкам более официальный статус. Поэтому у них была серьезная фора, которой воспользоваться им не удалось. ФСТЭК активно привлекла внешних экспертов из разных отраслей и организаций для обсуждения проекта своего приказа и прислушалась к большинству рекомендаций и предложений экспертов. 8-й Центр поступил еще круче - затеял процедуру общественного обсуждения проекта своего приказа на сайте regulation.gov.ru, тем самым существенно расширив число потенциальных экспертов. Вот только эффект получился совершенно иной - и число желающих поработать "в одну сторону" с ФСБ было немного и сам 8-й Центр проигнорировал почти все все здравые предложения и замечания к проекту приказа. ФСТЭК уже в прошлом феврале имела на руках утвержденный текст приказа с мерами по защите ПДн (а приказ ФСТЭК гораздо шире, чем документ 8-го Центра), а юристы ФСБ до сих пор пытается вычитывать запятые, штампуя редакцию за редакцией, так и не меняя ее сути.

Складывается впечатление, что задачи выпустить что-то адекватное у 8-го Центра в принципе нет. Иначе я просто не могу оценивать 43-ю редакцию приказа, которая на днях оказалась доступна экспертам для очередного витка обсуждения. И ведь в процессе блиц-дискуссии представителям 8-го Центра было высказано все тоже самое, что говорилось в 2010-м, 2011-м, 2012-м и 2013-м годах. Все тоже самое! Ничего нового! Ну как так можно?

В октябре я уже делал оценку предыдущей редакции проекта приказа ФСБ. Если сравнить ее с 43-й редакцией, то часть предложений, конечно, была учтена, но далеко не все. В частности, было исправлено следующее:

  • Помимо оснащения помещения дверей с замками и их опечатывания помещений по окончании рабочего дня, теперь можно помещения просто оснастить техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений.
  • Теперь ясно, что список лиц, допущенных в помещения, в которых ведется обработка ПДн, может включать и должности, а не только ФИО, как иногда считалось раньше. Я так никогда не считал, но теперь хоть появилась ясность в этом вопросе. Зато остался нерешенным вопрос о том, как регламентировать порядок доступа посетителей в помещения, в которых ведется обработка ПДн, если это помещение - торговый центр на несколько тысяч квадратных метров?
  • Вместо хранения всех носителей ПДн (включая бумажные, сервера, сетевое оборудование и т.п.), теперь в проекте приказа говорится только о съемных машинных носителях. Если на съемных носителях ПДн зашифрованы, то хранить их можно вне сейфов (металлических шкафов). Налицо прогресс, но в самой ФСБ все ПДн хранятся только в сейфах или металлических шкафах? Ой, что-то берут меня сомнения в этом. А уж про всякие менее богатые и бюджетные учреждения и речи не идет. А что делать с мобильными передвижными или выносными пунктами? Где будет хранить ПДн сотрудник бригады скорой помощи, выезжающий на старенькой Газели в дальнее село? А сотрудница банка или салона сотовой связи, у которой точка продаж стоит посередине торгового центра?
  • Поэкзмеплярный учет теперь нужно делать не для всех носителей, а только для машинных (но не только съемных). Так что без инвентаризации мобильных устройств, серверов, сетевого оборудования, флешек, видеокамер и т.п. не обойтись.
  • Новый проект приказа уже учитывает новую систему классификации сертифицированных СКЗИ - в нем убрано деление на КВ1 и КВ2 - оставлен только класс КВ.
  • Для второго уровня защищенности при наличии актуальных угроз 1-го типа теперь надо будет применять СКЗИ класса КА, а не КВ, как было раньше.
Остальные замечания и основные проблемы остались неизменными. Никакой возможности использовать несертифицированную криптографию, даже по согласованию с ФСБ. Практический запрет применения любых open-source решений (точнее не запрет, но обязательство использовать с ними СКЗИ класса КА). Даже при использовании проприетарного ПО с закрытыми исходниками, минимально возможный класс СКЗИ - КС3, т.к. вы не можете гарантировать, что злоумышленник в каком-нибудь торговом или бизнес-центре не получит физического доступа к СВТ, на которых стоят СКЗИ. Это в здании на Лубянке я могу хоть как-то это гарантировать, а в местах, открытых для свободного посещения неограниченного круга лиц - никакой гарантии. И это если еще оператор ПДн по глупости или под давлением интегратора не решил признать у себя актуальными угрозы 1-го или даже 2-го типа. В этом случае - минимально возможный класс используемого СКЗИ - КВ. Я уже проводил экспресс-анализ сертифицированных в ФСБ СКЗИ - 90% из них не подойдут для защиты ПДн.

За 3 года работы над проектом приказа ситуация так и не сдвинулась с мертвой точки. Как тянул 8-й Центр своими требованиями всех назад, во времена ЗАСов и вертушек, так и тянет. Ни современный бизнес, ни современные госуслуги не смогут жить по предлагаемым требованиям 8-го Центра, который явно или неявно толкает всех операторов ПДн на признание угрозы нарушения конфиденциальности в принципе неактуальной (даже если на самом деле это не так). Только в этом случае можно на законных основаниях не выполнять требования приказа ФСБ. Хотя с собственноручным созданием своей модели угроз тоже не все гладко...

ЗЫ. Кстати сама ФСБ тоже не соблюдает требования своего же приказа. При общении через их Web-форму на сайте никакой защиты ПДн, никакого шифрования. Но 8-й Центр у нас всегда жил по своим законам - законы российского государства соблюдать им недосуг. Они делают великое дело - вежливо обеспечивают национальную безопасность, забивая на интересы рядовых граждан и бизнеса. 

11.04.14

Почему мне не быть инвестором или стартапером по ИБ

В 2008-м году я написал статью для журнала M&A по перспективам инвестиций в области информационной безопасности в России. С тех пор прошло уже много времени, но ситуация изменилась мало. Серьезных инвестиций в наш сегмент пока так и не пришло, хотя определенный интерес к нему я вижу. Причем с разных сторон - и со стороны некоторых инвесторов, и со стороны стартапов, которые решили посвятить себя развитию какого-либо ниши в области ИБ. Сам я для себя понял, что врядли когда-нибудь стану инвестором или стартапером, ищущим инвестиций, - слишком большой я перфекционист :-) Выпускать полуподелку не готов, желая ее отшлифовать до блеска. Инвестировать в такие недоподелки тоже - свободных денег нет и разбрасывать их направо или налево без гарантии результата не хочется. Хотя запросы "а не хотите поучаствовать", "а можете ли оценить нашу идею" приходят регулярно. Но я для себя понял, что оценщик из меня плохой. Именно по причине перфекционизма - пока не увидел ни одной реально интересной идеи, которая стоило бы моего (именно моего) внимания и ресурсных затрат.

Но написать я хотел бы о другом. О поведении инвесторов, которое мне не до конца понятно (может именно поэтому я им никогда и не стану). Складывается впечатление, что сейчас все как один, в едином порыве, ринулись в инвестиционный бизнес. Сколково, РВК, Роснано, АСИ... - это только крупные инвесторы, которые организовывают всякие туры, "деревни" стране. А ведь есть еще иннополисы, технопарки, обычные инвесторы, которые пытаются завлечь в свои сети молодых и неопытных технарей, охочих до внешних денег. Но вот какой-то стратегии такого привлечения я и не вижу. Складывается впечатление, что делается это либо из-за моды, либо по разнарядке, либо по приказу. Никакой цели в получении реальной отдачи вроде как и нет.

Довелось мне как-то участвовать в due diligence одного российского DLP-вендора, который искал внешних заимствований для своего развития. Именитая инвестиционная компания пригласила меня для оценки продукта и его перспектив. Оценил. Перспектив не обнаружил - технология была не самая интересная с точки зрения практики. Дальнейшнее развитие событий показало, что моя оценка была верной - компания, все-таки получившая свои 2 миллиона долларов на развитие, так и не взлетела. Потом была оценка еще одной питерской ИБ-компании. С тем же эффектом.

А тут на днях меня пригласили помочь в организации мероприятия по ИБ-стартапам для одного крупного инвестиционного фонда. Я сначала загорелся - красивая же идея. Дать шанс молодым показать себя и услышать что-то полезное от потенциальных потребителей. Может я и наивный, но мне кажется, что стартап создается не для получения денег (хотя кто-то и для этого), а для реализации своей идеи, которая может помочь улучшить что-то в этой жизни. А чтобы улучшить, надо знать, что и где. Поэтому так важно организовать встречу тех, у кого есть потребности (заказчик) с тем, кто эти потребности может попытаться решить (стартап). Как я ошибался :-) Я предложил инвестфонду пригласить на встречу представителей очень крупных российских компаний и государственных корпораций и организаций, которые могли бы рассказать, чем их не устраивают сегодняшние решения по ИБ, что им требуется в будущем, какие потребности у них не закрыты. Ведь именно эта информация поможет стартаперам не размываться по мелочам, а сконцентрироваться на том, что может им помочь заработать. От стартапов я бы хотел услышать, что они делают и что могут предложить бизнесу. От меня (как представителя мирового и российского лидера рынка сетевой безопасности) должен был быть доклад о мировых тенденциях в области ИБ и перспективах этого рынка на ближайшие годы. Финальным аккордом я хотел пригласить регуляторов, которые могли бы неуемные фантазии стартаперов ввернуть в нужное русло и показать, что заниматься ИБ важно и полезно, но и соблюдать законодательство тоже неплохо бы. Вот такая красивая идея была...

Но пока что-то не получается ее реализовать :-) Инвестфонд посчитал лишним привлекать бизнес для участия в мероприятии для стартаперов. И регуляторов тоже не хочет. Предлагает ограничиться форматом "стенка на стенку". 3-4 мировых ИБ-игрока расскажут что-то про тенденции, а стартаперы по 3-4 минуты будут впаривать свои идеи. Кому впаривать, непонятно. В чем смысл такого мероприятия, тоже. Ну только если надо освоить выделенный на развитие стартапов бюджет и для галочки провести мероприятие. Смысла для стартапов тоже не вижу - они в очередной раз отработают свое умение за 3 минуты рассказать о своей гениальной идее и все. О том, нужна ли эти идея, им никто не скажет :-(

А причина у такой ситуации проста - нет четкого понимания нужности инновационного развития со стороны государства. Т.е. разговоры-то есть, а понимания нет. Мне понравилась недавняя статья на Хабре о том, почему в России нет своей ИТ-экономики и врядли она появится в ближайшее время. Я склонен согласиться с большинством тезисов указанной статьи - высокая зависимость от более простых и более доходных бизнес-моделей не дает нашей ИТ-отрасли развиваться. А государству не досуг развивать ее так, как это делалось в свое время в США или сейчас делается в Китае. Нефтедоллары слишком застилают глаза, чтобы думать на перспективы. И даже угроза санкций не сильно сдвинет ситуацию с мертвой точки. А все потому что слова высших должностных лиц в государстве об импортозамещении никак не вяжутся с тем, что делается или должно делаться на нижележащих уровнях. На них нужно слова транслировать в дела, а этого не происходит - мероприятия творятся для галочки.

Вот что мешает провести для ИБ-стартапов одну или несколько сессий с приглашением первых лиц российской ИБ (из Совбеза, ФСБ, ФСТЭК и т.п.) с рассказом о приоритетных проблемах и основных направлениях научных исследований в области обеспечения информационной безопасности Российской Федерации? Или пригласить академиков РАН с их прогнозом технологического развития РФ до 2030-года? Тогда было бы четко понятно, что надо и куда стремиться в краткосрочной, среднесрочной и долгосрочной перспективе. Был бы четкий план действий и ясная стратегия на импортозамещение. А пока... Пока все это словоблудие о росте инновационной экономики и ИБ-стартапах так и останется словоблудием. Спасение утопающих остается делом рук утопающих...

10.04.14

Фермеры, патологоанатомы и 21/17-й приказы ФСТЭК

Выступая в последнее время на разных региональных мероприятиях, где среди прочего рассказываю и о 17/21-м приказах ФСТЭК регулярно слышу две кардинально противоположные точки зрения об этих документах. Первая высказывается представителями крупного бизнеса, которые теперь получили возможность самостоятельно выбирать защитные меры, исходя из особенностей своей информационной системы и принятой или принимаемой модели угроз. Вторая высказывается малым бизнесом и некоторыми интеграторами, которые теперь вынуждены что-то придумывать, а не ориентироваться на жесткий перечень мер, как это было в первом четверокнижии или 58-м приказе ФСТЭК.

Как можно заметит, обе эти точки зрения касаются одного и того же свойства документов ФСТЭК - их гибкости. То, что для одних преимущество, для других беда. Оно и понятно. Крупный бизнес, первым попавшим в прицел проверок регуляторов, первым и натолкнулся на сложности с реализацией жестко прописанных требований по защите персональных данных. И, как не парадоксально, именно представители крупного бизнеса входили в рабочую группу ФСТЭК, занимавшуюся экспертизой и доработкой 21-го приказа, а затем и методички по мерам защиты. Вполне очевидно, что для крупного бизнеса появившаяся гибкость является благом, т.к. в полной мере позволяет учесть все особенности своих процессов обработки ПДн с точки зрения защиты.

А вот малый бизнес, до недавнего времени и вовсе не занимавшийся защитой персональных данных и ограничивающийся только выполнением требований Роскомнадзора, теперь столкнулся с непростой задачей. Если раньше, худо-бедно, но можно было реализовать закрытый перечень требований 58-го приказа и считать, что все нормально, то сейчас ситуация иная. Закрытого перечня просто нет. И малый бизнес, турагенства и фермеры, о которых в свое время писал Ригель, просто не знают, с какого бока подойти к решению задачи. Раньше они почти не занимались защитой, а сейчас им приходится решать несвойственные малому бизнесу задачи. А у них и специалистов-то нет :-(

Сложность восприятия, о которой я писал два месяца назад... Правда, пока оперативного решения со стороны регулятора, который мог бы взять и написать свои "Top20 защитных мер для малого бизнеса", я не предвижу. У ФСТЭК есть более оперативные и важные задачи. Остается надежда только на региональных интеграторов, которые смогут пакетировать 21-й приказ (да и 17-й для муниципалов и малых госов) в зависимости от типовой модели угроз и типового набора средств их нейтрализации. А может быть и онлайн-сервисы смогут эту задачу решить. Например, "Решебник" от уральского ЦентрИнформа. Тогда к пакету документов можно будет получить сразу и рекомендации по средствам защиты. Было бы удобно.

09.04.14

Чиновникам запретят использование несертифицированных мобильников! Есть ли альтернатива?

Вчера, депутат Гутенев внес в Гоcдуму законопроект №492034-6 "О внесении изменений в некоторые законодательные акты Российской Федерации", суть которого проста до безобразия - запретить чиновникам и госслужащим пользоваться несертифицированными мобильными устройствами. В качестве решаемой законопроектом проблемы депутат Гутенев называет защиту служебной тайны и персональных данных федеральных госслужащих от действий иностранной технической разведки посредством использования недекларированных возможностей технических средств мобильной связи. Ну а в модель угроз депутат включает:
  • нарушение конфиденциальности передаваемых переговоров и SMS, электронной почты и данных, передаваемых при посещении сайтов в Интернет
  • несанкционированный доступ к контактам
  • несанкционированное дистанционное управление мобильным устройством
  • контроль местоположения абонента
  • активация вредоносных программ, мещающих связи абонента
  • нарушение безопасности мобильных транзакций.
В модели угроз ничего нового - часть угроз даже забыта (я про модель угроз мобильного устройства на конференции Яндекса рассказывал). Интересно другое. Бороться с этой проблемой депутат предлагает путем запрета всем федеральным госслужащим пользоваться мобильными устройствами с ПО, непрошедшим сертификацию по требованиям безопасности. Аналогичный запрет должен коснуться работников госкорпораций и госкомпаний.

У данного законопроекта есть ряд очевидных проблем. Во-первых, согласно указу Президента Российской Федерации от 31 декабря 2005 г. № 1574 "О Реестре должностей федеральной государственной гражданской службы" к федеральным госслужащим не относятся ни Президент, ни премьер-министр, ни его заместители, ни федеральные министры, ни губернаторы, ни судьи, ни служащие государственных предприятий, учреждений и технических исполнителей в государственных органах, ни иные должности категории "А". Т.е. законопроект не распространяется на очень большое количество потенциальных секретоносителей.

Во-вторых, законопроект, умышленно или случайно, говорит не о том, что на мобильном устройстве должно быть сертифицированное по требованиям безопасности ПО, а обо всем устройстве с ПО, прошедшими сертификацию. А такая сертификация, да еще и на отсутствие НДВ, представляет собой большую проблему. Я вообще не очень уверен, что найдутся производители мобильных устройств, которые готовы будут отдать системотехнику для сертификации на отсутствие НДВ. С софтом как раз проще - Инфотекс, С-Терра, КриптоПро, Диджитал Дизайн с удовольствием освоят для себя новый сегмент рынка.

В-третьих, судя по тому, что речь идет борьбе с иностранными техническими разведками сертификацией должна заниматься ФСТЭК. В то время как сертификацией средств защиты для информационных систем I-го класса согласно 104-му приказу Минкомсвязи (а именно к ним относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам), должна заниматься ФСБ.

В-четвертых, в пояснительной записке к законопроекту говорится, что дополнительных расходов из бюджета на реализацию закона не понадобится. Как бы не так. Устройств, которые бы позволили выполнить требования законопроекта не очень много. Если не рассматривать наложенное на любой Android сертифицированное защитное ПО и, похоже, снятый с производства Voice Coder Mobile от Сигнал-Кома, а также отбросить зарубежные устройства Sectra, Sagem, Rohde&Schwarz, CryptoPhone, Secusmart, Blackphone, то получится что в РФ есть только одно устройство, которое бы удовлетворяло требованиям законодательной инициативы депутата Гутенева. Речь идет о продукции НТЦ "Атлас", а точнее о мобильных устройствах SMP-АТЛАС 2003-го года и его усовершенствованная версия SMP-АТЛАС/2 2010-го года. Цена на первую версию этих устройств достигала 100 тысяч рублей. Вторая версия может обойтись значительно дешевле - при партии в 1000 штук цена на устройство может составить около 49 тысяч рублей. Умножив эту цифру на общее число госслужащих, сложно говорить об отсутствии расходов из федерального бюджета.

Можно, конечно, упомянуть и еще одного производителя защищенных GSM-устройств - компанию Анкорт и ее криптосмартфон StealthPhone. На мой взгляд именно это решение лучше всего подходит под задачу, опсианную депутатом Гутеневым. В StealthPhone не только обеспечивается конфиденциальность мобильных разговоров и SMS посредством специального чипа, а не наложенным ПО, но и присутствует специальные фильтры и металлический экран, которые предотвращают опасные излучения. Также в криптосмартфоне "Анкорт" отсутствуют такие высоко излучающие элементы, как видеокамера, Bluetooth, инфракрасный порт, съемная дополнительная память, Wi-Fi. Т.е. и вероятность утечки по техническим каналам у этого устройства гораздо ниже стандартного смартфона, обвешанного навесным ПО. Но у продукции Анкорт есть один недостаток - я не нашел сведений о наличии сертификата на изделие, выданного любым из отечественных регуляторов.

Но есть и еще одна проблема с реализацией рассматриваемого законопроекта. И решение Анкорт, и решение Атлас, и решения с наложенным ПО обеспечивают только конфиденциальность мобильных переговоров и, может быть, SMS. А что делать с остальными угрозами, упомянутыми Гутеневым? Как бороться с вредоносными программами? Как предотвращать несанкционированный удаленный доступ? Как защититься от определения местоположения абонента (это вообще от телефона мало зависит и может быть реализовано оператором мобильной связи)? Есть ли готовые и сертифицированные и неконфликтующие между собой решения на эти угрозы? Вопрос пока остается без ответа. Как собственно и ответ на вопрос о перспективах законопроекта. На волне патриотизма сейчас вносится множество законопроектов, которые должны гарантировать России цифровой суверенитет, но вот пока ни один из них не дошел даже до этапа первого чтения, не говоря уже про подписание у Президента. Но если законопроект Гутенева и ждет более завидная судьба, чем у его собратьев, то реализовать его на практике будет сложно. Да и чиновников заставить отказаться от своих Vertu или "дешевых" iPhone будет сложновато... 

08.04.14

ЦБ закручивает гайки?..

Пока госорганы бомбили ФСТЭК запросами о том, что делать с сертифицированной Windows XP, срок поддержки которой закончился аккурат сегодня (а вчера ФСТЭК опубликовала сообщение по этому поводу), банки задумывались совсем по другому поводу - не начинает ли их кошмарить Банк России вопросами ИБ. Эти вопросы возникали в Фейсбуке, на прошедшей РусКрипто (кстати, материалы с нее уже выложили), в частных беседах. Основания для этого есть :-(

Если посмотреть на упоминаемое мной уже письмо 42-Т от 14-го марта 2014 года "Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан", то в предпоследнем абзаце данного письма есть интересный пассаж: "Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 N 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах".

Недостатки внутреннего контроля - это серьезно. Например, согласно статьи 48 177-ФЗ от 23.12.2003 "О страховании вкладов физических лиц в банках Российской Федерации" такой недостаток может послужить причиной прекращения права банка на привлечение во вклады денежных средств физлиц и на открытие и ведение банковских счетов физлиц. Т.е. по сути плохая обработка персональных данных может стать причиной невозможности заниматься основной деятельностью кредитной организации.

Кстати, стоит обратить внимание на готовящуюся новую редакцию 242-П, в которой также расширен раздел по вопросам информационной безопасности. В частности в рамках СВК обязана проверять "соблюдение кредитной организацией требований Банка России и внутренних документов кредитной организации к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе с использованием электронных средств платежа".

А если вспомнить последний документ ЦБ, подписанный тем же Симановским, по защите от вредоносного кода?.. А недавно разосланный опросник по 382-П на 60 с лишним вопросов (в чем его смысл, если банки и так должны были 202-ю форму отчетности уже отослать)?.. А обновления документов по надзору и инспекционным проверкам?.. Вообще за последние несколько месяцев ЦБ обновил свыше 80 своих документов. Банки задумываются... Может зря, а может и нет.

Но для информационной безопасности это может быть и хорошо. Важность ИБ-рисков, как и вообще ИБ повышается, т.к. их недооценка может стать той самой последней каплей, которая позволит Банку России сделать вывод о низком качестве внутреннего контроля и корпоративного управления в кредитной организации, о невыполнении требований документов Банка России. А за этим выводом может последовать и отзыв лицензии :-( Правда, есть и неприятная сторона - число банковских безопасников, оставшихся без работы, может возрасти, а бюджеты банковских служб ИБ могут быть в условиях неопределенности заморожены. Так что для кого-то эти изменения представляют угрозу, а для кого-то новые возможности. Как посмотреть....

04.04.14

Новая версия курса по моделированию угроз

Обновил программу курса по моделированию угроз. Достаточно много изменений появилось в версии 1.6, что обусловлено последними событиями в мире геополитики и в мире ИБ, а также активизацией темы по защите АСУ ТП и КВО:

  • Автоматизация моделирования угроз с помощью R-Vision
  • Расчет стоимости угрозы ДБО, PCI, мобильного банкинга
  • Модель угроз беспилотника (в качестве примера)
  • Примеры ошибок восприятия угроз
  • Как моделировать быстро и просто (экспресс-метод)
  • Детальное рассмотрение понятия "область применения модели угроз"
  • Примеры последствий угроз на КВО
  • Модели нарушителей ФСБ
  • Примеры действия моделей нарушителя Н6
  • Размышления о модели нарушителя Н7
  • Статистика по типам нарушителей
  • Мотивация нарушителя
  • Как понять мотивацию нарушителя
  • Систематизация причин угроз
  • Статистика по точкам входа / каналам реализации угроз
  • Статистика по уязвимостям
  • Каталог угроз BSI
  • Про некорректность статистики
  • Про риск-ориентированный подход в моделировании угроз для КВО
  • Различные формы потерь (на примере NERC)
  • Психология и угрозы со стороны человека.

Новые требования Банка России по защите от вредоносного кода

ЦБ в лице г-на Симановского, первого зампреда Банка России, выпустил новое письмо 49-Т от 24 марта 2014-го года "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности". Если мне не изменяет память, слухи об этом документе ходили достаточно давно (чуть ли не с конца 2012-го года), но тогда он по разным причинам так и не увидел свет. И вот сейчас свершилось - 16 страниц разъяснений тех требований, которым в СТО БР ИББС и 382-П было отведено совсем немного места.


Документ очень подробный. Расписывает не только технические, но и организационные вопросы по защите от вредоносного кода. Например,

  • требование регулярного обучения и контроля знаний у работников банка по тематике защиты от вредоносного кода
  • доведение до руководства банка результатом мер защиты от вредоносного кода
  • сбор и анализ информации о распространении вредоносного кода
  • тестирование совместимости приобретаемых средств защиты от вредоносного кода с используемыми ИТ
  • обязательное применение средств защиты от вредоносного кода в электронной почте
  • заключение договоров с Интернет-провайдерами в части фильтрации вредоносного кода.
С технической точки зрения требуется применять:
  • терминальный доступ
  • анализа защищенности
  • контроль состава и целостности ПО и железа
  • сегментацию
  • инвентаризацию ПО и железа
  • резервирование и восстановление из резервных копий
  • меры по локализации эпидемий вредоносного кода.

Помимо антивирусов 49-Т требует использования:
  • средств контроля использования съемных носителей
  • автоматизированных средств обобщения и анализа информации, фиксируемой в журналах протоколирования работы защитного ПО (если я правильно понял эту формулировку, то речь идет о SIEM)
  • средств анализа наличия на средствах вычислительной техники и объектах защиты неустраненных недостатков системного и прикладного ПО в части защиты от вредоносного кода (если я правильно понял эту заумную фразу, то авторы хотели прописать сюда сканеры SAST/DAST/IAST).
Хотя есть и нестыковки в 49-Т и 382-П. Например, классический вопрос - сколько разных производителей антивируса должно быть в банке? В п.2.7.3 382-П говорится об использовании средств защиты от вредоносного кода разных производителей при наличии технической возможности. В 49-Т (а надзор будет считать это письмо не рекомендацией, а обязательным документом) такой приписки уже нет - там говорится просто о раздельной установке антивирусов различных производителей (п.2.1.10).

П.2.1.17 меня "убил". Он требует выделить независимый ПК, изолированный от сети, в т.ч. и Интернет, на котором с помощью загрузочного диска будут проверяться все съемные машинные носители информации перед их использованием в банке. Я так себе и представил очередь к этому ПК :-) А писанины по этому письму сколько требуется... Жуть просто. На каждый пункт нужен свой регламент.

Отдельный раздел документа посвящен функциям органов управления кредитной организации в части организации защиты от вредоносного кода. Там много всего - от анализа защищенности и назначения ответственных до прогнозирования неблагоприятного развития событий и подробной отчетности по всем вопросам защиты от вредоносного кода.

Отдельный раздел посвящен регламентации защиты от вредоносного кода клиентов банка. Там и изменение договоров с клиентами, и разработка памяток, и информирование об угрозах, и обеспечение консультирования клиентов по защите от вирусов, и сбор информации о вредоносном коде и передача этой информации разработчикам антивируса (на все свой регламент нужен), и обучение персонала, работающего с клиентами, по вопросам борьбы с вирусами.

Последний раздел касается требований к провайдерам связи. Тут и SLA, и требование к провайдеру защищать банк от вирусов, и согласование внутренних документов по борьбе с вредоносным кодом с провайдерами, и т.д.

В целом у меня сложилось впечатление (наверное неверное), что 49-Т - это переложение 382-П понятным языком и в контексте борьбы с вредоносным кодом. Учтены почти все 15 разделов 382-го положения; кроме отчетности и криптографии :-)

По сути это методические рекомендации, разъясняющие, как выполнять требования 382-П или СТО. Вообще сейчас у регуляторов (исключая 8-й Центр) наблюдается движение в сторону трехзвенной иерархии требований по безопасности:

  1. Высокоуровневые требования федерального законодательства
  2. Требования ведомственных приказов, определяющих "что" надо делать
  3. Требования методических документов, определяющих "как" надо делать.
По такому принципу сейчас строятся документы ФСТЭК. Видимо и в ЦБ решили последовать этому примеру.



Интересно, если требования этого документа в полном объеме не выполнить (наряду с другими мелкими огрехами), не станет ли это основанием для отзыва лицензии у банка за невыполнение требований Банка России?.. Кто знает, кто знает...

ЗЫ. Кстати, когда читал документ, с ходу транслировал его требования к решениям Cisco Sourcefire Advanced Malware Protection (AMP). Выполнить можно многое из требуемого на техническом уровне :-)

02.04.14

Мастер-класс по персональным данным - Нижний Новгород - 16 апреля

15-17 апреля в Нижнем Новгороде пройдет 7-й Международный форум "ITForum 2020 / Эволюция", на котором традиционно демонстрируются последние достижения ИТ. Среди прочего не будет обойдена вниманием и тема информационной безопасности и персональных данных. ФСТЭК проведет свой круглый стол по защите информации для муниципальных предприятий. Екатерина Старостина проведет круглый стол по кибербезопасности с привлечением большого числа экспертов по ИБ (я там тоже выступлю).

Участники круглого стола по кибербезопасности
И, наконец, я проведу мастер-класс  "Практика выполнения последних требований законодательства по персональным данным" в рамках расширенного заседания нижегородского клуба "ИТ-муниципал".

Обработка персональных данных в информационных системах проникает во все большее количество сфер нашей жизни. Мы сталкиваемся с ними оформляя социальные пособия, рождение детей и смерть близких, получая зарплату или оплачивая налоги, ведя порталы государственных или муниципальных услуг или обращаясь в медицинское учреждение, проходя систему охраны на предприятии или фотографируясь на пропуск или паспорт. Ситуаций, в которой у нас обрабатываются персональные данные различных категорий много, а российские регуляторы не часто балуют своими ответами по часто возникающим вопросам. При этом нормативные требования регулярно претерпевают изменения, которые особенно активно проявились в последние 8-9 месяцев. Принятие новых требований ФСТЭК по защите персональных данных и государственных информационных систем. Методическое руководство ФСТЭК по защите государственных информационных систем. Приказ Роскомнадзора по обезличиванию персональных данных. Разъяснения Роскомнадзора по обработке биометрических персональных данных и персональных данных в отделах кадров. Законопроект об изменениях в закон «О персональных данных». Изменений очень много и поэтому так часто возникают вопросы о том, как правильно на практике применить все новые нормы и при этом остаться в пределах и так небольшого бюджета.

Собственно в рамках мастер-класса и планируется рассмотреть последние изменения в законодательстве по персональным данным, с последующей активной дискуссией с участниками и ответами на вопросы как «из зала», так и заранее сформулированные в социальных сетях и на других ресурсах, освещающих форум. Если у вас возникли вопросы, ответы на которые вы хотите услышать на форуме, пишите в комментариях к этой заметке или на странице мероприятия в Facebook.

Программа будет насыщенной - на все выделено 2,5 часа. Не так много, но и немало. Регистрируйтесь и приходите. Регистрация открыта до 9-го апреля!

01.04.14

Не до шуток


ЗЫ. Сами понимаете....

31.03.14

Кто все-таки будет отвечать за ИБ КВО - ФСТЭК или ФСБ?

Чуть больше недели назад в Москве прошла отличная конференция - "Безопасность КВО ТЭК", на которой обсуждались различные вопросы в такой горячей теме, как критически важные объекты. Не обошлось и без упоминания законопроекта "О безопасности критической информационной инфраструктуры", который я уже не раз упоминал в блоге и который сейчас находится на финальной стадии согласования перед внесением в Госдуму (в апреле должно состояться это знаменательное событие).

В связи с этим интересен доклад, который Георгий Грицай (Минкомсвязь) сделал на конференции. Его выступление было посвящено вопросам взаимодействия критических инфраструктур с сетями связи общего пользования (ССОП), которое претерпело некоторые изменения по сравнению с первой редакцией законопроекта. Там тоже много чего интересного намечается. Но коснуться я бы хотел немного иного вопроса, озвученного в докладе Георгия, - ответственного за вопросы безопасности критических инфраструктур. Как это часто бывает при обсуждении еще не принятого законопроекта были сделаны некоторые оговорки, что все может поменяться и поэтому как финальное решение рассматривать презентацию не стоит :-)


Кто смотрел первую редакцию законопроекта, тот помнит, что там было два ответственных за безопасность КИИ - ФСБ (за КИИ высокой степени опасности) и ФСТЭК (за КИИ средней и низкой степени). Я в своей недавней презентации это освещал. Но в новой редакции законопроекта от идеи двухголового монстра решили отказаться. Что логично, т.к. было не совсем понятно, как могут два ну очень разных регулятора отвечать за защиту одного и того же объекта (пусть и разных степеней опасности). Когда отвечают два, значит не отвечает ни один. И в новой редакции было введено понятие ФОИВа "уполномоченного в области обеспечения безопасности критической информационной инфраструктуры". Т.е. если все пройдет как задумано, то регулятор ИБ КВО будет один.



А вот дальше и начинается гадание на кофейной гуще, т.к. совершенно непонятно, кто станет этим регулятором - ФСТЭК или ФСБ? Если ФСТЭК, то в целом все будет развиваться так, как развивается сейчас (ведь ФСТЭК является ФОИВом, ответственным за безопасность ключевых систем информационной инфраструктуры). ФСТЭКовский проект приказа по защите АСУ ТП будет принят и станет обязательным для всех категории КВО. ФСТЭК будет отвечать за категорирование. Она же будет проводить государственный контроль и надзор. Но что если крайним назначат ФСБ? Вот тут мы вступаем на зыбкую дорогу неопределенностей и догадок. Какова станет судьба проекта приказа ФСТЭК (есть же распоряжение Президента на его разработку)? Какие требования установит ФСБ в отношении ИБ КИИ? Кто в ФСБ будет за это отвечать - 8-й Центр или УКООП СЭБ? Вопросов много... Остается только ждать.

27.03.14

Как защищается China UnionPay?

Президент сегодня заявил, что Россия создаст свою национальную платежную систему, взяв пример с Китая (China UnionPay) и Японии (JCB), которые создав сначала чисто локальные платежные сервисы, затем расширили их до уровня международных. Собственно в данной заметке я хотел посмотреть на опыт JCB и CUP в контексте информационной безопасноти.

С JCB никаких особенностей нет - на эту платежную систему распространяются требования PCI DSS. Более того, несмотря на не очень большой размер доли рынка, представитель JCB входит в исполнительный комитет PCI SSC наряду с представителями других 4-х международных платежных систем - Visa, MasterCard, American Express и Discover.

А вот с China UnionPay ситуация немного иная. На эту платежную систему требования PCI DSS  не распространяются. Представителей CUP нет в исполнительном комитете PCI SSC, хотя как рядовой член PCI SSC они на сайте упомянуты. Будучи сугубо локальным китайским продуктом CUP развивалась по своему и с точки зрения информационной безопасности. Все, что мне удалось найти по данной теме - это 4-й раздел руководства по электронным платежам и его 23-я статья, которая отделывается общими словами о необходимости наличия стандартов по ИБ. 24-я статья говорит об управлении рисками, 25-я - об установке лимитов на перевод денежных средств. 26-я статья устанавливает требования неотказуемости транзакций, 27-я защищает банковскую тайну. В последующих 10-ти статьях руководства говорится об авторизации персонала, разделении ответственности, возможности аутсорсинга. Глубокой детализации, схожей с PCI DSS, 382-П или СТО БО ИББС нет и в помине. С 2013-го года в UnionPay внедряется стандарт EMV для чиповых карт. Вот и вся их безопасность.

К чему такой экскурс? Просто рассчитывая на лучшее, всегда надо готовиться к худшему, и банки, являющиеся участниками платежных систем Visa и MasterCard должны быть готовы к тому, что против упомянутых систем могут быть введены санкции. И хотя главы ЦБ и Минфина высказали мысль, что отказываться от Visa и MC не надо, нет никакой гарантии, что наши власти не начнут работать на опережение и не начнут "читать мысли" Президента, ставя палки в колеса компаниям, которые решили пойти супротив России. Понятно, что и Visa, и MasterCard исполняли волю американского государства и по своей инициативе врядли отказались бы от такого лакомого куска, как Россия (хотя доля карточных платежей этих МПС в общем объеме пока ничтожно мала). Но самим США санкции сложно организовать, а вот их "проводникам" вполне - примеров наша история знает немало. Именно поэтому на прошлой неделе в Госдуму был внесен законопроект о запрете работы в России платежных систем, неимеющих у нас своего операционного центра. Пока никто из международных платежных систем его не имеет, а многие и не планируют даже. Если законопроект примут, то работа МПС в России будет блокирована, статус оператора платежной системы отозван и выданные у нас карточки превратятся в красивый пластик.

Возможно у нас возродится УЭК/ПРО100 - об этом говорят сейчас много. Возможно на переходный период у нас оставят все МПС. Возможно оставят только "дружественные" нам МПС (JCB/CUP). Возможно не оставят ничего. Возможно все скоро утихнет и чиновники по-прежнему будут ездить заграницу не с наличными, а с карточками Visa или MC. Возможно МПС построят в РФ свои операционные центры. Говорить пока рано, как и строить какие-то прогнозы. В любом случае риск этот уже ненулевой и стоит искать альтернативы. Поэтому и знание того, как защищаются не столь популярные в РФ (за исключением дальневосточных регионов) платежные системы будет не лишним.






Побуду рупором 8-го Центра :-)

Учитывая определенную закрытость ФСБ в целом и 8-го Центра в частности, решил на один день стать рупором этого регулятора, который вчера на РусКрипто озвучил ряд планов развития своих нормативно-правовых актов в области криптографии. Планов ровно 3:
  • Новые требования к СКЗИ& Это, пожалуй, самое интересное для потребителей изменение. Тезисно:
    • КВ1 - класс явно невостребованный. За последние 5 лет сертифицирована на КВ1 была всего одна СКЗИ. Поэтому этот класс, скорее всего, уберут из проекта новых требований к СКЗИ.
    • 8-й Центр хочет наконец-то сделать требования к СКЗИ открытыми. Делается это для потребителей, которые хотят знать, что же скрывается за каждым из классов. Если все пойдет хорошо, то к концу года документ опубликуют.
    • Планируется также изменить ряд числовых показателей, учитывающих последние тенденции в области ИТ, криптографии и криптоанализа.
    • ФСБ положительно оценивает документ ФСТЭК по обновлению сертифицированных СЗИ. Они планируют выпустить такой же. Дима Гусев из Инфотекс об этой замечательной идее уже говорил на конференции ФСТЭК в феврале.
    • Одно из революционных изменений касается необходимости упорядочивания ситуации с сертификацией СКЗИ или информационные системы, использующих сертифицированные криптобиблиотеки. По мнению 8-го Центра разработчики совершенно не думают о безопасности среды функционирования СКЗИ и совершенно наплевательски относятся к управлению ключами и интерфейсам между прикладными системами и криптобиблиотеками. С этой целью вводится понятие (неформально - в документе его не будет) законченного средства криптографической защиты, которое будет включать в себя весь комплекс криптографических примитивов - от зашифрования/расшифрования или генерации/проверки/визуализации электронной подписи до управления ключами, включая их защищенное хранение. Общая идея понятна, но вот ее реализация пока абсолютно невнятна и к лету планируется выйти уже на более менее сформированный подход. Последствия для потребителей и разработчиков информационных и прикладных систем пока сложно предсказуемы. 
    • Учитывая изменения по части функционально законченных СКЗИ была высказана мысль, что классы КВ и КА теперь будут жестко зафиксированы в своей аппаратной среде/конфигурации и программно их реализовать без привязки к "железу" будет почти невозможно. Предвижу сложности с облачной реализацией криптографии и с реализацией высокоуровневой криптографией на виртуализированных платформах. На мобильных устройствах ждать КВ тоже не придется (если это не специализированные планшетники или телефоны). Вообще тема мобильных СКЗИ в условиях функциональной законченности у меня вызывает большие вопросы... 
  • Переход к ГОСТ 34.10-2012 активно идет. Начался он официально совсем недавно (с 01.01.2013), а с 01.01.2019 применение ГОСТ 34.10-2001 уже не допускается. С 01.01.2014 ФСБ уже не принимает к рассмотрению ТЗ, в которых не учтен новый ГОСТ. Аккурат к этому времени сертификаты на действующие реализации ГОСТ 34.10-2001 закончат свое действие. Правда, у меня все эти потуги с заменой одного ГОСТа на другой вызывают банальный практический вопрос - что будет с признанием документов, подписанных "старым" ГОСТом после 2019-го года? Соответствующих СКЗИ уже не будет, а долгосрочное хранение юридически значимых документов как-то надо обеспечивать. Но, видимо, этот вопрос ввиду вакханалии с ФЗ-63 мало кто задает или просто не знает, как на него ответить.
  • Долгожданное обновление ГОСТ 28147-89 включает в себя утверждение в этом году новой редакции ГОСТа с 128-битным блоком (сейчас 64), а также с набором фиксированных узлов замены. Еще один разрабатываемый ГОСТ будет описывать  режимы работы блочных шифров. Какие конкретно режимы сказано не было, но судя по ссылке на американский опыт, речь идет о серии NIST SP800-38, включающей сейчас 12 различных режимов работы блочных шифров.
Вот, пожалуй, и все. Чего-то более конкретного услышать не удалось. Все-таки представители 8-го Центра выступать не очень умеют и, считая слушателей равных себе по уровню квалификации, регулярно погружаются в такие детали, которые сложно воспринимаются рядовыми потребителями. Ну а про регулярное перескакивание с темы на тему в пылу азарта и говорить не приходится. На научных конференциях это происходит сплошь и рядом :-)

Но в целом, по сравнению с предыдущей конференцией, где о планах регулятора почти ничего не говорилось, в этом году несомненный прогресс. Еще бы сделать такие анонсы чуть более регулярными и публичными... Но в обозримом будущем это несбыточные мечты, как мне кажется.

26.03.14

О риск-ориентированном подходе и статистике инцидентов ИБ в АСУ ТП

После публикации сегодня заметки о статистике реальных инцидентов ИБ в индустриальных системах Ригель меня покритиковал, ссылаясь на то, что в случае с критичными инфраструктурами данный риск-ориентированный подход не применим и в любом случае надо исходить из того, что даже при минимальной вероятности угрозы ущерб от ее реализации может быть настолько значительным, что с такой угрозой надо считаться и защищаться от нее.

Могу сказать, что я с этим утверждением и не спорил и, более того, уже писал про него год назад :-) Но так как многие читатели моих заметок рассматривают их как независимые произведения, да еще и часто читаемые не на моем официальном блоге, а на реплицируемых его ресурсах, то они могли и не знать про мои предыдущие заметки по теме. Писать же каждый раз ссылки "по теме" или disclaimer'ы слишком долго и нудно. В итоге могло сложиться не совсем верное мнение, что опубликованная мной статистика может применяться для оценки рисков в индустриальных системах. Не совсем так.

В феврале прошлого года американский центр разведки и безопасности 21-го века опубликовал материал, который был посвящен именно этому вопросу. Если его резюмировать, то идея проста - оценка рисков критическим инфраструктурам бизнесом может закончиться тем, что на безопасность деньги тратиться не будут ввиду малой вероятности наступления риска (даже при большом размере ущерба). Иными словами бизнес будет просто игнорировать безопасность, опираясь на классический риск-ориентированный подход. И если для "офисной" безопасности это работает, то для критических инфраструктур просчет может стоить очень дорого - не в финансовом исчислении, а с точки зрения экологических катастроф или человеческих жертв. Поэтому в случае с критическими инфраструктурами (как и в случае с гостайной) защищать их надо в любом случае - невзирая на низкую вероятность угрозы. 

Статистика реальных инцидентов ИБ в индустриальных системах

Когда речь заходит о выборе защитных мер, то существует два основных подхода. Первый - выбирается базовый минимальный набор, который должен быть реализован в любом случае, невзирая на наличие или отсутствие угрозы (считается, что базовый набор рассчитан на наиболее распространенные угрозы). Второй - меры выбираются на основе соответствующего моделирования. Какой бы вариант моделирования вы не выбрали, вы будете оперировать двумя понятиями - вероятность ущерба и масштаб ущерба. Именно от них зависит актуальность угрозы, для нейтрализации которой и будет выбираться защитная мера.

Где нам взять данные два показателя для АСУ ТП, о которых в последнее время говорят очень много? Наблюдать и считать самим? Можно, но долго. Посчитать экспертным путем? А у экспертов есть соответствующая квалификация? Использовать другие методы? Можно, но есть и еще один вариант - воспользоваться готовой статистикой. Правда, в области индустриальных решений ее публичной почти нет. Эрик Байрс свою самую известную базу инцидентов закрыл, но зато вместе нее появилась база RISI. База тоже закрытая, но за деньги можно получить к ней доступ. Именно на основе этой базы составлены нижеприведенные диаграммы. Точных значений по каждому показателю я не привожу специально - моя задача была показать общие тенденции, на основе которых можно сделать соответствующие выводы.

В четверку наиболее опасных и подверженных угрозам отраслей входят энергетика, нефтегаз, транспорт и водоснабжение. А вот пятое место занимает производство питания. Про нее говорили и на прошедшем недавно форуме "Безопасность КВО ТЭК", который расширяет свои границы и уже не ограничивается только топливно-энергетическим сектором.

Статистика инцидентов по отраслям
Время простоя от инцидентов в большинстве случаев равно нулю. На втором по популярности месте - 1-4 часа. За это время, в зависимости от отрасли, в котором работает критически важный объект, может произойти очень многое - от кражи состава с рудой до экологической катастрофы с человеческими жертвами.


Время простоя от инцидента ИБ
Наиболее популярные последствия от инцидентов предсказуемы - снижение объема производства / операций (как в случае со Stuxnet), потеря управления устройствами, снижение продуктивности персонала.

Последствия от инцидента ИБ
С финансовой точки зрения статистика RISI объем потерь в более половине случаев не превышает 100 тысяч долларов США.

Масштаб финансового ущерба
Чаще всего в инцидентах бывает замешаны контроллеры (PLC), распределенная система управления (DCS), Master SCADA, индустриальный ПК и HMI.

Замешанное в инциденте оборудование
Предсказуемо, но обнаруживаются инциденты обычно операционным персоналом во время самого инцидента. На втором месте - обнаружение после инцидента. Обнаружение инцидента с помощью каких-либо средств защиты происходит очень редко. Отсюда следует простой вывод - работа с персоналом гораздо важнее технических решений (последними, правда, тоже не стоит пренебрегать).

Метод обнаружения инцидента
Проприетарные протоколы хоть и участвуют в инцидентах, самым распространенным все-таки является TCP/IP. Это лишний раз доказывает, что традиционные средства сетевой безопасности могут быть эффективно использованы для защиты АСУ ТП. Правда, второе, третье и четвертое место занимают индустриальные протоколы, которые должны распознаваться и фильтроваться выбираемыми средствами защиты.

Протоколы, в рамках которых произошел инцидент
Следующий слайд показывает, что вредоносное ПО, попавшее внутрь извне, является основной проблемой даже в индустриальных сегментах. Вопросы надежности железа и софта находятся на втором и четвертом местах соответственно. Это говорит о необходимости внедрения SDLC, соответствующего тестирования и приемочных испытаний АСУ ТП, наличия адекватной процедуры выбора оборудования и ПО, соответствующей процедура управления обновлениями и т.п.

Тип инцидента
Учитывая, что вредоносное ПО - самый распространенный тип инцидентов, а третий тип - это проникновение в систему, мы приходит к тому, что основным типом нарушителя для индустриальных сетей является внешний нарушитель / вирусописатель. А вот второе место менее приятно - нарушитель не был обнаружен или его тип не был идентифицирован.

Тип нарушителя
Наиболее интересна статистика по точке входа в индустриальный сегмент. В большинстве случаев точка входа вообще неопределена. На втором месте - точка соприкосновения с корпоративной сетью, а тройку замыкает удаленный доступ. Данная статистика опровергает миф о том, что индустриальные сегменты не подключены никуда и изолированы от Интернет, от корпоративной сети, от сетей третьих лиц и т.п.

Точка входа в АСУ ТП
Есть еще две диаграммы, которые интересны с точки зрения статистики. Это данные американской компании Red Tiger, занимающейся аудитом и тестами на проникновение в индустриальных сетях. За время своей работы они проанализировали немало сетей и собрали статистику об уязвимостях в различных сегментах АСУ ТП и типах встречаемых в них эксплойтах.




25.03.14

11 новых поглощений на рынке ИБ

Как-то упустил я из ввиду сделки по поглощению игроков рынка ИБ за последнее время. Наверстываю упущенное :-)

Вчера частная калифорнийская компания Palo Alto объявила о подписании соглашения о приобретении другой частной израильской компании Cyvera. Детали сделки не разглашаются. Однако хочу заметить, что Palo Alto повторяет путь других игроков рынка сетевой безопасности, решивших расширить свое портфолио продуктами по защите оконечных устройств. В частности Cisco в прошлом году купила Sourcefire и получила в свое распоряжение систему защиты мобильных, стационарных и виртуальных устройств FireAMP.

24-го февраля Google купил английский стартап Spider.io, занимающийся средствами защиты рекламных баннеров от вредоносного ПО и мошенников. Детали сделки вновь не разглашаются.

19-го февраля Synopsis подписал соглашение о приобретении Coverity, компании, известной на рынке анализа качества и безопасности ПО. Сумма сделки - около 350-375 миллионов долларов.

17-го февраля Google купил израильскую компанию SlickLogin, которая занималась звуковыми паролями. Детали сделки опять не разглашаются.

13-го февраля Bit9, известная своими решениями по защите оконечных устройств, объявила о слиянии с Black Carbon, которая занималась решениями по реагированию на инциденты. Детали сделки не разглашаются. Обе компании небольшие (оборот Bit9 в 2013-м году составлял чуть менее 50 миллионов долларов по всему миру) и почти неизвестны в России; вторая так уж точно.

12 февраля российская компания Infowatch объявила о приобретении бизнес-направления FinallySecure у немецкой ИБ-компании SECUDE AG. Детали сделки неразглашаются. Это событие интересно тем, что речь идет о российской компании, которые не так часто радуют нас сделками по поглощению кого-либо. Для Infowatch же это не первый опыт - в 2010-м году она уже приобрела питерскую Cezurity, годом спустя - немецкую EgoSecure, а еще спустя год - Appercut Security.

21-го января HID Global объявила о приобретении IdenTrust, компании, занимающейся средствами аутентификации, шифрования и управления электронными подписями. Детали сделки не разглашаются.

15 января абсолютно незамеченной прошла сделка по приобретению американской CipherCloud другой американской компании CloudUp Networks. Детали сделки не разглашаются, но сама она касается облачных сервисов по ИБ.

6 января Orange приобрел крупнейшую французскую компанию в области кибербезопасности - Atheos, усилив свое портфолио решениями MSS по управлению Identity и ИБ.

17 декабря Datacard Group объявила о приобретении у фонда Thoma Bravo известной в области цифровой идентификации и шифрования компании Entrust. Про Thoma Bravo я уже писал неоднократно - этот фонд специализируется на ИБ-компаниях, скупая их, а затем продавая другим покупателям, немало навариваясь на этом.

Совершенно пропустил прошлогоднюю сделку по покупке IBM'ом Trusteer'а, борющегося с финансовым мошенничеством и целенаправленными угрозами, за, примерно, 1 миллиард долларов (детали сделки не разглашаются). Произошло это в августе.

21.03.14

Кратко об очередных изменениях законодательства

Вчера вечером наткнулся на целый ряд новых (либо для меня, либо реально таковых) нормативных документов или разъяснений по информационной безопасности. Не буду их особо комментировать - просто выдам списком:
  • Проект Постановления Правительства Российской Федерации "О международно-правовой защите присвоения (назначения) радиочастот или радиочастотных каналов и о порядке использования на территории Российской Федерации спутниковых сетей связи, находящихся под юрисдикцией иностранных государств". Движение в сторону цифрового суверенитета продолжается. Про передачу информации ограниченного доступа через иностранные спутники тоже пару слов сказано.
  • Проект Постановления Правительства Российской Федерации «О правилах технологического функционирования электроэнергетических систем». В этих 182 страницах меня удивил тот факт, что ни слова не сказано про информационную безопасность. А ведь про движение в сторону Smart Grid (а они без ИБ никуда) у нас так много говорили :-(
  • Федеральный государственный образовательный стандарт "Безопасность информационных технологий в правоохранительной сфере".
  • Профессиональный стандарт специалиста по информационной безопасности. Обсуждали его много. Критиковали еще больше. Даже конференции проводили.
  • Письмо ЦБ от 14.03.2014 №42-Т "Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан". Ничего сверхестественного - просят усилить контроль :-)
  • Ответы Банка России на вопросы по применению 9-й статьи ФЗ-161. Мне кажется, что это новое разъяснение. По крайней мере я его не видел раньше, хотя оно и датировано февралем этого года.