15.10.14

План деятельности ТК122 по стандартизации ИБ финансовых организаций

На днях в ПК1 ТК122 была утверждена программа по стандартизации вопросов безопасности финансовых операций на ближайшие пару лет. В план вошли следующие темы:

  • Распространение действия СТО БР ИББС (1.0 и 1.2) на все финансовые организации, а не только на кредитные.
  • Пересмотр СТО БР ИББС 1.1, 2.0, 2.1 и 2.2
  • Пересмотр РС 2.7 по ресурсному обеспечению, так и не вступившей в силу (очень непростой документ).
  • Разработка новой РС по предотвращению утечек информации.
  • Разработка новой РС по противодействию мошенничеству при переводе денежных средств.
  • Разработка новой РС по распределению ролей ИБ.
  • Разработка новой РС по обеспечению ИБ в облаках и при аутсорсинге.

14.10.14

Как обнаруживать и подавлять посторонних в Wi-Fi-сети

Обратился к нам тут давеча заказчик с вопросом. Мол, внедрили мы мобильный доступ внутри сети, организовали гостевые подключения, и даже BYOD для отдельных категорий высокопоставленных пользователей замутили. Ну все чин чином, как положено при реализации корпоративной мобильности. Все на базе Cisco ISE (небольшая реклама :-) Но при этом возникли ряд проблем, о которых до этого момента никто не думал, находясь на волне интереса к BYOD и даруемым им преимуществам. О возможных проблемах никто не подумал, а они есть.

Начнем с банальных атак в беспроводном эфире. Как их обнаруживать и отражать? Обычные IDS/IPS неспособны это делать, т.к. им нужен доступ либо к проводному каналу, чтобы встать в разрыв, либо к SPAN-порту, чтобу получить копию трафика (в виртуализированной среде к vPath или иному средству перенаправления трафика с нескольких виртуальных машин на заданную).

Другая проблема, ушлые сотрудники, которые ставят собственные точки доступа для облегчения своей работы и перемещений по офису без необходимости подключаться к порту коммутатора. При этом уровень знаний о безопасности у таких сотрудников низкий и настраивать установленное оборудование они не умеют, оставляя его в конфигурации "по умолчанию". С дефолтовыми паролями, с известными учетными записями, с антеннами, бьющими на полную мощность за пределы здания. Этим, разумеется, пользуются злоумышленники, которые обнаруживают такие "левые" точки доступа и через них проникают в сеть.


А еще "левые" точки доступа могут быть установлены в соседних помещениях. Их тоже никто не настраивает как надо и они "фонят" на десятки, а то и сотни метров, мешая работать другим арендаторам в здании. У заказчика, который к нам обратился, такая проблема тоже была. Под кабинетом генерального директора находилось кафе, которое предлагало своим посетителям гостевой доступ в Интернет через Wi-Fi, и мешало нормально работать в корпоративной беспроводной сети. Это обнаружилось уже потом, а до этого айтишники не могли понять, почему у гендиректора фигово все работает. В другом случае, была зафиксирована ситуация, когда злоумышленник поставил в соседнем помещении точку доступа с тем же SSID, что и в компании, развернувшей у себя Wi-Fi, тем самым выступая в качестве "man-in-the-middle" и перехватывая трафик пользователей на себя.

Кстати, посетители кафе представляли и еще одну проблему. В самом кафе им предоставляли ограниченный доступ к Интернет-ресурсам; вот они и пытались найти близлежащие точки доступа и попробовать выйти в Интернет через них. И хотя ISE такие действия отсекал, регулярные попытки подключения к корпоративным точкам сильно мешали, держа постоянно в напряжении и безопасников и айтишников.

Собственно ничего нового в таком отношении к беспроводному корпоративному доступу не было. У 67% компаний нет достаточно проработанных политик (а то они и вовсе отсутствуют) использования беспроводных сетей. У 48% отсутствует регулярное сканирование радиоэфира. А у 66% отсутствуют беспроводные системы предотвращения вторжений.


Собственно после нашей беседы заказчик развернул у себя средства мониторинга и управления беспроводной сетью, позволяющее как раз решать поставленные задачи. В частности, с его помощью стало возможным оперативно отслеживать и автоматически подавлять любые посторонние беспроводные точки доступа и клиенты. В ряде случае, когда автоматическое подавление не представляется возможным, решение задачи облегчает возможность идентификации физического местоположения беспроводного устройства с привязкой к поэтажному плану здания. В зависимости от покрытия здания точками доступа точность может достигать пары-тройки метров.


Помимо функций обнаружени и подавления "чужих" и внутренних нарушителей, такое решение позволило еще и айтишникам получить ряд дополнительных инструментов по отслеживанию мест массового скопления беспроводных пользователей и перестроить свою Wi-Fi-сеть с учетом этой информации (но это уже к ИБ не относится).

Резюмируя, хочу отметить, что внедрение решений по беспроводному доступу должно всегда сопровождаться моделированием угроз, при котором стоит исходить из худшего сценария развития событий. Поэтому помимо средств организации беспроводного доступа стоит подумать о наличии возможностей обнаружения, классификации и нейтрализации посторонних устройств и атак.


Да и регуляторика (приказы 17/21/31 ФСТЭК) говорят об этом же...

13.10.14

Можно ли исключать защитные меры при неактуальности угроз?

Моя пятничная заметка вызвала оживленную дискуссию в Twitter и Facebook на тему, можно ли отказываться от какой-либо защитной меры согласно приказу 17/21/31 при неактуальности угроз. Сергей Борисов даже пост на эту тему написал. Он считает, что в 21-м приказе отсутствует возможность исключения защитных мер только на основании неактуальности угроз, для которых эта мера предназначена. По причине отсутствия какой-либо информационной технологии можно, из-за определенных структурно-функциональных характеристик тоже можно, а вот по причине неактуальности угроз нельзя. Я с такой позицией несогласен и вот почему.

В 17-м приказе, в п.14.3 есть такой фрагмент "При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы... применяемые информационные технологии...". Далее, в п.14.4 говорится, что "Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации". В 20-м пункте говорится, что "Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать...". Иными словами, ФСТЭК неоднократно указывает, что система защиты и ее наполнение мерами зависит от угроз и никак иначе.

31-й приказ построен на аналогичных вводных. В 8-м пункте говорится о том, что защита информации в АСУ ТП достигается путем принятия в рамках системы защиты АСУ "совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования...". В п.13.3 также говорится, что угрозы зависят от структурно-функциональных характеристик АСУ ТП. Пункт 13.4 гласит - "Требования к системе защиты... определяются в зависимости от класса защищенности... и угроз безопасности, включенных в модель угроз безопасности информации". Ну а 18-й пункт 31-го приказа почти дословно повторяет упомянутый выше 20-й пункт 17-го приказа.

Иными словами, ФСТЭК в двух своих приказах четко дает понять, что система защиты зависит от угроз и с неактуальными угрозами (которые не приводят к нарушению функционирования или ущербу) бороться не надо; в модель угроз неактуальные угрозы включать не надо.

Почему таких фраз нет в 21-м приказе? На самом деле все просто. Во-первых, в 21-м приказе это сказано, но другими словами. В частности, в п.3 говорится, что "меры по обеспечению безопасности персональных данных... должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных". 4-й пункт тоже упоминает только актуальные угрозы. И 8-й пункт тоже. 2-й пункт Постановления Правительств №1119 тоже, как ни странно, упоминает только актуальные угрозы, которые и должна нейтрализовывать система защиты.

А во-вторых, в 21-м приказе просто нет тех разделов по жизненному циклу системы защиты персональных данных, которые есть в 17-м и 31-м приказах. Нет их не из-за забывчивости, все-таки документы писали одни и те же люди. Причина проста - ФСТЭК, являясь уполномоченным органом по защите ГИС и АСУ ТП, для них установила требования по тому, как строить систему защиты; из каких этапов этот процесс должен состоять. А вот коммерческим операторам ПДн, на которых и распространяется 21-й приказ, ФСТЭК, не имея полномочий для их проверки, решила дать свободу в выборе того, как строить систему защиты. Поэтому, соблюдая общую идеологию, общий алгоритм выбора защитных мер, единый перечень защитных мер, в 21-м приказе не говорится (и теперь понятно, что может быть и зря), как это все объединить вместе.

Отсутствие этих разделов дает основание некоторым экспертами считать, что неактуальность угрозы не дает права на исключение соответствующей защитной меры. Собственно, мы опять возвращаемся к тому, о чем я уже как-то писал, - свобода выбора - это для многих зло. Слишком много степеней свободы появляется - у владельца защищаемой системы своя, у интегратора своя, у аттестационной лаборатории своя, у проверяющих от регуляторов своя. И даже если последние допускают (а это именно так) широкое толкование 17/21/31-го приказов, то вот остальные участники этого процесса пока не перестроились и постоянно рассчитывают на "а вдруг". А вдруг нельзя? А вдруг не согласуют? А вдруг накажут? А вдруг неправильно?...

Резюмируя, исключать защитные меры, опираясь на неактуальность угроз, возможно. Более того, модель угроз, которая будет строиться по методике, которую в скором времени опубликуют, будет включать только актуальные угрозы. А система защиты будет зависеть от модели угроз, т.е. списка угроз актуальных.

10.10.14

Symantec тоже делится

Symantec тоже делится пополам. Подробно описывать не буду - все написал в посте про HP :-)

Базовый - значит минимальный?

На данную заметку меня натолкнула статья "Как уйти от оценки соответствия СЗИ", в которой делается интересный, но неверный вывод "Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь". Я с ним сталкиваюсь достаточно регулярно, разговаривая об алгоритме выбора защитных мер по 17/21/31-му приказам.


Алгоритм, действительно, отличается от того, что было раньше. Сейчас появилась свобода выбора и она многих вводит в ступор. Это вам не СТР-К, не четверокнижие и не 58-й приказ, который содержал закрытый перечень защитных мер. Вот их надо было обязательно выполнять, хошь-не хошь. В новых приказах ситуация совершенно другая.

Да, начинается все с перечня базовых мер. Многие считают, и считают неправильно, что эти меры являются минимально возможным перечнем, который нельзя урезать. А ведь это совсем не так! В приказах четко написано, что "исключение из базового набора мер возможно, если какие-либо информационные технологии не используются в информационной системе, или присутствуют структурно-функциональные характеристики, не свойственные информационной системе". То есть ни о каком минимально допустимом перечне речи не идет. Что же такое базовый набор?

Все просто. Это набор мер, рекомендуемых "по умолчанию". Вот не хотите вы пересматривать защитные меры исходя из используемых вами технологий или особенностей информационной системы. Не хотите строить свою модель угроз. Не хотите адаптировать защитные меры под себя. Вот для вас и разработан базовый набор, как набор "лучших практик". Во время разработки проектов приказов очень много дискуссий было именно на тему, что включать, а что нет, в этот базовый набор, так как все понимали, что потребитель будет отталкиваться от него при построении своей системы защиты.


Однако, если вы считаете, что базовый набор вам не подходит. Например, у вас нет каких-либо угроз, технологий или процессов, то вы можете спокойной урезать этот набор до необходимого вам. Именно вам, а не интегратору, лицензиату или еще кому-то. Это требует определенных усилий и времени, но зато и результат будет оптимальным. А можно пойти по старинке и взяв за основу базовый набор, реализовать его в своей системе. Тоже возможно.

В любом случае у вас есть свобода действий, которой вы можете воспользоваться, а можете и нет. Главное, что не стоит думать, что базовый набор - это минимальный перечень защитных мер.

Запрет на хранение ПДн россиян отложен?..

Вчера прошла новость о том, что российские власти отложили принятие поправок в 242-ФЗ о запрете хранения ПДн россиян за границей с 1-го января 2015-го года. Отчасти этому поспособствовало недовольство бизнеса (тут и тут), который был не готов в столь короткие сроки осуществить перенос своих вычислительных мощностей в Россию. Это хорошо, но...

Хочется отметить, что речь не идет (пока не идет) об отмене или переделке самого 242-ФЗ. Пока говорят лишь о том, что может быть оставить все как есть; тогда закон вступит в силу как и предполагалось раньше - с 1-го сентября 2016-го года. Многие вздохнули с облегчением и поспешили обрадоваться сами или обрадовать своих западные штаб-квартиры. Однако вздыхать рано.

Во-первых, 1,5 года с небольшим до сентября 2016-го года - это не так много для крупных баз данных. Но дело даже не в этом. Вторая проблема совсем в другом. Что делать тем компаниям, которые в принципе ничего сюда перенести не могут? Например, представительства иностранных компаний, у которых бизнес-процессы построены таким образом, что информация об их российских работниках циркулирует и хранится за пределами РФ? Но это еще полбеды. Ну не будет у нас иностранных компаний в России, для импортозаместительного курса это в струю.

Есть другой, даже более серьезный вопрос. Кто-нибудь задумывался о том, как осуществляются трансграничные денежные переводы? Ведь в полях "отправитель" или "получатель" могут присутствовать персональные данные россиян. Вот захочет, например, депутат имярек перевести деньги за обучение своих отпрысков за границу, а не сможет. Ведь храниться эта информация за рубежом не может. И перенести сервера для ее хранения в Россию нельзя. И что делать бедному депутату? Да тут и с чадом депутатским вопрос встает - ведь оно российского происхождения. А значит какой-нибудь престижный швейцарский или английский колледж или университет не может хранить у себя персональные данные россиянина. И в России он тоже хранить их не будет.

А если депутатскому чаду или самому депутату понадобится оказать медицинскую помощь за пределами Российской Федерации? Понятно, что отечественная медицина лучше, но если вдруг?.. Патриотично отказать европейским врачам в процедуре липосакции или пластики груди и ехать в Россию? А как по другому - ведь зарубежные клиники не могут хранить эти персональные данные в своей картотеке. И в Россию тоже не смогут перевести эти данные.

Ну и, наконец, представим Всемирный экономический форум в Давосе. Приезжают красавцы из Новой Зеландии, европейские чиновники, американский бизнес... А россиян нет. Ни одного. Даже Президента РФ. Ведь он гражданин России, а хранить ПДн россиян за границей нельзя. И поэтому ВЭФ в Давосе отказывает всем россиянам в регистрации на форум, ссылаясь на 242-ФЗ и не имея возможности перенести свои серверные мощности в Россию!

Вообще 242-ФЗ - это хороший закон. Он лучше многих других обеспечивает курс на импортозамещение во всех сферах жизни - медицина, обучение, покупки, отдых... Все россияне теперь останутся в России и будут покупать только российские продукты и пользоваться только российскими услугами. Мечта патриота! Может для этого закон и принимали?..

09.10.14

Можно ли обойтись без шифрования при передаче ПДн по каналам связи?

Вчера я должен был выступать на конференции по защите персональных данных, проводимых компанией "Авангард-Про". Так случилось, что здоровье подкачало и выступить я не смог. Но в любом случае я выкладываю свою презентацию по такой непростой теме, как обязательность применения средств шифрования для защиты персональных данных.

Тема, безусловно, дискуссионная, но думаю, что в презентации вы сможете найти какие-либо полезные мысли :-)



08.10.14

Изменяется перечень адекватных стран по части ПДн

Как Роскомнадзор и планировал в 2014-м году изменить перечень стран с адекватной защитой прав субъектов ПДн, так он и сделал. Подготовлен проект приказа о внесении изменений в приказ Роскомнадзора от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».

Из нового, уже согласованного приказа, будут изъяты специальный административный район Гонконг Китайской Народной Республики и Швейцарская Конфедерация.

06.10.14

HP покидает рынок безопасности?

Сегодня стало известно, что компания HP решила разрезать себя пополам, разделив свой бизнес на две части - HP Enterprise, которая будет заниматься корпоративными решениями, и HP Inc, которая займется персоналками и принтерами. В пресс-релизе компании ни слова о направлении безопасности (что уже говорит о приоритетах), но можно предположить, что оно уйдет в HP Enterprise. Также сообщается о сокращении 55 тысяч (55000!) человек в процессе разделени компании, которое будет происходить до октября 2015-го года.

Сейчас сложно предсказывать, что будет с направлением безопасности HP дальше. В свое время, когда HP выделил из себя направление Agilent, он туда отдал один или два продукта по ИБ. Я даже сейчас вспомнить уже не могу, что это были за решения. И в итоге они погибли, прекратив свое существование, т.к. для  Agilent они стали непрофильным активом. В текущей ситуации это врядли произойдет - все-таки HP Enterprise будет заниматься наряду с прочим и сетевыми технологиями.

По собственному опыту могу сказать, что любые реорганизации - это всегда неразбериха в течение длительного времени и всегда полнейшая неопределенность в части планов развития компании. А уж при сокращении такого количества людей текущие сотрудники будут находиться в определенной прострации и постоянных размышлениях на тему "оставят / не оставят". Кого-то это может подхлестнуть работать лучше, а кого-то и вовсе закрыться в коконе в ожидании финала.

В любом случае, переходный период в течение ближайшего года, будет не самым лучшим для компании, ее сотрудников и продуктов. А нам остается только ждать, чем закончится эта история.

03.10.14

Законопроект по гособлаку представлен общественности

На днях на портале regulation.gov.ru выложили очередную реинкарнацию законопроекта по облакам. Когда я ее скачивал, я предвкушал возможность прокомментировать там многие вещи. Все-таки к майской версии законопроекта было немало вопросов. Каково же было мое удивление, когда я увидел не только совершенно иной текст, но и совершенно иное название законопроекта.

Первоначально речь шла о законопроекте под названием “О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений”, инициатором которого был Минкомсвязь. Он до сих пор лежит на портале regulation.gov.ru. Выложенный же 26-го сентября законопроект "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и среди его разработчиков значится не только Минкомсвязь, но и ФСО, ФСБ и ФСТЭК России. Оно и понятно, изменения в трехглавый закон мимо них не проходят. Чтоже мы видим в этом "замечательном" законопроекте:

  • Вводится 3 новых определения, включая и "услуги облачных вычислений". Правда, это определение касается только госорганов. А вот для коммерческих организаций или физлиц услуг облачных вычислений по версии Минкомсвязи не бывает. Аналогичная ситуация и с термином "облачная инфраструктура" - она тоже может быть только для госов.
  • Поставщику облачных услуг явно отказывается в праве считаться обладателем информации, созданной госорганами в облачной инфраструктуре.
  • При предоставлении услуг облачных вычислений должны быть соблюдены всего два условия - доступность информации и возможность ее обработки, включая и ее удаление. Все!
  • Надо ждать выхода отдельного Постановления Правительства, которое определит требования и порядок предоставления услуг облачных вычислений. Думаю, оно появится не позже шести месяцев с момента принятия законопроекта.
  • Поставщик облачных услуг может быть только российским юрлицом или ИП, а сама облачная инфраструктура должна находиться только на территории России. При этом не каждый отечественный облачный провайдер сможет претендовать на право выноса государственного мозга в облако, - только аккредитованные провайдеры удостоятся этой чести. Правила аккредитации должно разработать Правительство РФ.
  • Ответственность за нарушение достоверности, целостности, подлинности и конфиденциальности информации, в случае, если таковое последовало по причине ненадлежащего функционирования и управления облачной инфраструктурой поставщика услуг облачных вычислений, несет поставщик услуг облачных вычислений. Во всех иных случаях ответственность несут госорганы.
  • Вступить закон должен в силу с 1-го января 2016-го года.
Вот и все требования. По сравнению с майским проектом - небо и земля. Убрали и муниципальные органы, и требования к коммерческим облакам, и требования лицензирования по требованиям ИБ, аттестации и использования сертифицированных средств защиты. Возможно, последние три пункта войдут в упомянутые ранее Постановления Правительства. По крайней мере, выглядело бы это логичным. Это на уровне отдельного законопроекта, такие вопросы стоило внести в него. А в трехглавом законе, где и так часть вопросов уже описана (та же сертификация), эти повторения без надобности. А вот вынести их на уровень Постановления Правительства - вполне логичная идея. И вот там уже могут появиться и требования лицензирования, и требования аттестации, и требования оценки соответствия используемых средств защиты информации, владельцем которой является государство.


02.10.14

Об отключении Интернет, которое было предсказуемо еще 14 лет назад

Вчера прошло заседание Совета Безопасности, посвященное информационной безопасности России в целом и Рунета в частности. Само мероприятие вызвало уже немало откликов, комментариев, статей и репортажей в СМИ. Однако для большинства пользователей Интернет и просто обывателей главным был вопрос, который подняла совсем недавно газета “Ведомости”  - отключат нас от Интернет или нет? Собственно временная шкала в мозгу рядового россиянина выглядела бы так:



Специалисты, чуть больше погруженные в тему, могли бы увязать статью в “Ведомостях” с прошедшими в июле секретными кибер-учениями (кстати, проведение киберучений - вещь достаточно популярная в мире).



Еще более погруженные в тему специалисты могли бы вспомнить, что ничего сверхестественного в идее отключения государства от Интернет нет и даже США пытались это сделать, создав “красную кнопку”, передаваемую в чрезвычайной ситуации в руки президента США. Правда, законопроект “о красной кнопке отключения Интернет” так и не был принят, но все-таки такая возможность открыто прорабатывалась американцами еще в 2010-м году. Почему бы ее не проработать и нашим властям?..

Но я бы хотел посмотреть на эту проблему чуть шире. Если отталкиваться только от статьи в “Ведомостях” и последующих ее переложениях, то ситуация действительно выглядит апокалиптично - IP-адреса заберут, DNS-адреса перестанут делегировать, Рунет перестанет быть доступным извне, превратившись в большую локальную сеть, скрытую NAT’ом… Просто жуть, а не картина :-) Если же посмотреть на ситуацию, взяв за основу не статью в “Ведомостях”, а сам факт проведения киберучений (а статью считать не самым удачным переложением того, что обсуждалось в июле), то ситуация становится вполне адекватной и понятной - государство, в условиях усиления информационного противоборства (на разных уровнях) решило наконец-то озаботиться оценкой возможных рисков, проработкой сценариев негативного развития событий и выработкой подходов по их нейтрализации и смягчению последствий. Обычное моделирование угроз или анализ рисков, но применительно к российской информационно-телекоммуникационной инфраструктуре (читай, Рунету) и в более глобальных масштабах. Тогда в качестве одного из возможных рисков вполне могли рассматривать “ливийский” сценарий по случайному или целенаправленному отключению России от всемирной сети, что могло стать причиной различных негативных событий у нас в стране. С этой точки зрения все выглядит вполне разумно и заседание СовБеза явилось логичным продолжением киберучений, результаты которых с предложениями по нейтрализации негативных последствий и были озвучены Президенту и другим участникам СовБеза.

Тут можно было бы и поставить точку, но раз уж я все-таки взялся за клавиатуру и все-таки посвятил заметку этой теме, то я хотел бы пойти еще дальше и высказать крамольную мысль, что ничего сверхественного, сенсационного, ранее неизвестного в постановке задачи “а можно ли отключить нас от Интернета” нет. Эта тема давно волнует умы нащих силовиков и иных стоящих у руля, о чем они открыто и неоднократно писали. Достаточно только вспомнить прошлогодние баталии на тему интернационализации Интернет, борьбе с засильем американской ICANN и желанием ряда государств (во главе с Россией) передать полномочия по управлению Интернетом “независимой” ITU (работающей под эгидой ООН), а также получить право управлять национальными сегментами Интернет на уровне государства, а не ICANN. Желание вполне понятное с точки зрения если не пользователя Интернет, то государства уж точно.

Интернационализация же Интернет - идея тоже не новая. Впервые ее упомянули еще в 2000-м году в Доктрине информационной безопасности. И вот тут мне хотелось бы напомнить, что несмотря на кажущуюся хаотичность действий наших чиновников и законодателей, они все-таки подчиняются некоторой логике (пусть и далекой от логики обычного россиянина). И логика эта (а также путь движения) описан в ряде основополагающих документов:

  • Доктрина информационной безопасности (2000 год)
  • Стратегия национальной безопасности до 2020 года (2009 год)
  • Федеральный закон “О безопасности” (2010 год)
  • Военная доктрина (2010 год)
  • Основы государственной политики в области международной информационной безопасности на период до 2020 года (2013 год)
  • Концепция внешней политики (2013 год).
Во всех этих документах стратегического планирования постулируется мысль, что одна из основных угроз в области информационной безопасности для России - это использование информационно-коммуникационных технологий (Интернет) для вмешательства во внутренние дела государства, для осуществления враждебных действий против государства, для оказания деструктивного воздействия на критические инфраструктуры государства и для совершения киберпреступлений против отечественных компаний и граждан. Ну а дальше все эти документы определяют различные высокоуровневые, а местами и совсем неконкретные способы снижения данного риска.

Например, все документы говорят об интернационализации управления Интернетом, которые по сути означают желание государства взять управление Рунетом под свой контроль (кто-то может трактовать это как возможность отключения от Интернета). Документы говорят о необходимости обеспечения технологического суверенитета в ряде критических областей (не всех), что мы также видим в последнее время. Декларируется право на индивидуальную или коллективную самооборону, реализацию которой мы также видим в обсуждении различных либо сугубо российских инициатив по ИБ, либо в виде коллективных договоров по ИБ в рамках ШОС, ОДКБ, СНГ и т.п.

Вспомним, попытки последних лет взаставить международные Интернет-компании - Twitter, Google, Facebook и других, быть более лояльными к запросам российских властей. Так в Доктрине ИБ 2000 года это было уже прописано - “определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций”. Российские Интернет-компании, ранее не попадавшие под лицензирование как операторы связи и недавно ставшие “распространителями информации”, подконтрольными российским властям, тоже были упомянуты несколько лет назад в рамках одной из угроз, которую нужно нивелировать - “создание системы противодействия монополизации отечественными и зарубежными структурами составляющих информационной инфраструктуры, включая рынок информационных услуг и средства массовой информации”.

Про на днях нашумевший законопроект о ограничении участия иностранцев в деятельности наших СМИ в этих доктринальных документах тоже написано - “уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов”.

Про недавно созданный при ОДКБ центр противодействия киберугрозам тоже было написано и в основах госполитики в области международной ИБ, и в концепции внешней политики, и в стратегии национальной безопасности. В них постулируется необходимость создания альянсов с ОДКБ, ШОС, СНГ, странами БРИКС по различным сферам, в том числе и в части информационного противоборства и информационной безопасности. Последние шаги России по выпуску межгосударственных документов в области ИБ (включая и ЕвразЭС, по которому сейчас тоже активно готовится нормативная база) лишний раз доказывают это.

По сути, то, что вчера происходило на Совете Безопасности, было предсказуемо. Вопрос был только в дате, когда за это должны были взяться. Взялись. Думаю, теперь можно прогнозировать, опираясь на вышеупомянутые документы, что будет следующим в списке шагов наших законодателей и регуляторов.

А в заключение хочу тезисно напомнить, что вчера было на СовБезе (в вольном переложении и прочтении между строк):

  • Будут создаваться (а местами уже созданы) дублирующие элементы сети для обеспечения ее отказоустойчивости. В том числе будет активизироваться сотрудничество в этой сфере с Китаем и рядом других государст-партнеров.
  • Сайты, которые нарушают законодательство РФ (в т.ч. и во внесудебном порядке), будут и дальше закрываться. Никаких послаблений не будет. Роскомнадзор может быть выведен из под Минкомсвязи в прямое подчинение Президенту.
  • Тотального контроля не будет. Про нетотальный речи не было :-) Необоснованных ограничений в Интернете не будет. Про обоснованные речи не было :-)
  • Будут приняты новые нормативные акты в области ИБ и Интернет, особенно применительно к госорганам.
  • ФСБ остается основным органом в области ИБ, который готовит для Президента аналитические записки и прогнозы развития ситуации.
  • Озвучен в очередной раз курс на стимулирование госорганов применять отечественную ИТ-продукцию. Критерии “отечественности” финально не приняты.
  • Система СОПКА будет и дальше развиваться.
  • Киберучения, видимо, теперь будут регулярными.
  • Министр связи и массовых коммуникаций мало понимает в области ИБ.
  • Банковский CERT, о котором говорили в начале года в Магнитогорске, будет создан в ближайшем времени.
  • Законодательство о персональных данных будет развиваться.
  • Мы начнем перенимать зарубежные “лучшие практики” контроля Интернет и “защиты прав” граждан (например, китайские).

01.10.14

Мужские запахи и ИБ

Постоянно летая самолетами разных авиакомпаний волей-неволей, но погружаешься в чтение журналов, вкладываемых в карман впереди стоящего кресла. Журналы бывают интересные, бывают не очень. В зависимости от длительности полета, либо не успеваешь прочитать журнал целиком и остается еще что-то на обратную дорогу, либо перелет достаточно длинный, чтобы прочитать один журнал от корки до корки и нацелиться на другие творения авиационной полиграфии. У Аэрофлота - это журналы Аэрофлот.Style и SKYSHOP. В первом публикуются разные гламурные статейки для женщин - какую косметику выбрать, какие коллекции модной одежды сейчас в тренде, какую ювелирку заказать суженому на 8 Марта и т.п. Второй журнал содержит каталог товаров, которые можно приобрести.



3 года назад я уже писал о статье про женские духи, в которой в небольшом абзаце была раскрыта тайна, почему Security ROI, работающие на Западе, не работают в России. Все дело в относительности стоимости человеческого труда, которая может отличаться в России и на Западе в разы (не в пользу России). Сегодня ночью, летев из Казани, я листал уже не Аэрофлот.Style, а SKYSHOP.



В этом журнале была куча совершенно бестолковых товаров, навроде набора губного геля со вкусом Кока-Колы и Спрайта или цифрового алкотестера. А еще половина этого журнала посвящена косметике и парфюмерии, мужской и женской. А поскольку во время снижения делать обычно нечего и 20-25 минут либо сидишь, пялясь в инструкции по спасению на высоте 10 тысяч метров, либо разглядываешь ненавистный глянец. И вот в этот раз я застрял на изучении рекламы мужской косметики разных производителей, из которой я узнал, что по версии всяких Версачей и ДольчеГабан мужественность должна содержать ноты мяты и  лимона, герани и ванили, ветивера и цитрусовых, пряностей и японского юдзу, папоротника и розы, грейпфрута и красного мандарина, а также корицы. Несмотря на такое разнообразие запахов абсолютной мужественности, объединяет их одно - дрова! Именно они, скрытые под красивой фразой "древесно-пряная изысканность", являются неотъемлемым компонентом всех мужских ароматов. Прочтя столь чарующую рекламу, которая умоляла меня выложить 200 евро за 100 мл бесцветной жидкости, я принюхался к себе... В таинственном шлейфе, окутывающим меня после перелета, я уловил точно не оттенки чувственности, которые должны были напомнить мне о легендарной сексуальной революции 1969 года и уж точно шлейф не навевал мне мысли о кораблях, трюмы которых полны сундуков с экзотическими специями. Запах был немного иным... То ли дизайнеры врут насчет квинтэссенции запаха настоящей мужественности, то ли я эту мужественность порастерял в дороге... В любом случае сандалового или кедрового запаха от себя я не ощущал :-)

Однако размышления о запахе настоящей мужественности неподвластными человеческой логике путями привели меня к мысли об информационной безопасности. Я вспомнил, как в августе, во время множественных перелетов по Америке, я постоянно наталкивался на журнальчики американских авиакомпаний, в частности SkyMiles у Delta Airlines. А вот у них в журналах почти не было косметики и парфюмерии или кондитерских изделий как у нас. Меня поразило другое (я обратил на это внимание еще в прошлом году, но потом забыл) - большой выбор средств персональной ИБ.  
 
И речь не об антивирусах и не замках для ноутбуков. Очень большое предложение средств, блокирующих RFID-излучение платежных карт, паспортов и других критичных документов.
 
Это и кошельки, и обложки для паспортов, и визитницы, и косметички, и поясные/наплечные сумки... Выбор колоссальный.

А что у нас? Запахи современного, харизматичного, обольстительного, искушенного гедониста? Фонарики с 3-мя видами энергии, способствующей исчезновению целлюлита? Сыворотка для груди с идебеноном? Электроприбор, стимулирующей фибробласты? Экстракт устричных раковин для создания нанокристаллической пленки на зубах? Где персональная ИБ?

У нас что, граждане не пользуются PayPass от Mastercard или payWave от Visa? Или в отечественных биометрических паспортах нет RFID-чипа? Все это есть, а вот задумываться о краже данных дистанционным образом, пока никто в России не задумывается (в отличие от США). И решений поэтому у нас тоже нет. Будем надеяться, что пока...

А пока пойду смою запах дальних странствий и буду искать в своей мужественности запах сандала, кедра или хотя бы просто древесно-пряную изысканность. Точнее изысканность в моей мужественности-то есть. Может быть и деревом она отдает. Но вот пряная ли она? Кто знает, кто знает... 

24.09.14

Новая редакция 382-П Банка России вступает в силу с 16 марта 2015 года

14 августа Банк России утвердил, а 10 сентября это сделал Минюст, новое Указание №3361 (в Консультанте+), вносящее изменения в 382-П. Я про него уже писал в мае, а сейчас хотел бы описать некоторые отличия финальной версии от проекта:
  • Новое указание было опубликовано в "Вестнике Банка России" №83 от 17 сентября. С этого момента необходимо отсчитать 180 дней на вступление в силу. Итого, с 16 марта 2015 года положения обновленного 382-П становятся обязательными для всех участников НПС.
  • Расчетные (дебетовые), кредитные карты, которые начинают действовать после 1 июля 2015 г., выданные (эмитированные) кредитными организациями на территории России, должны быть оснащены микропроцессором. До этой даты достаточно наличия магнитной полосы.
  • Обновленный п.2.3 говорит об обязанности применения антифрод решений.
  • Новый п.2.3.3 "применение объектов информационной инфраструктуры, обладающих функциональными и конструктивными особенностями, связанными с обеспечением защиты информации при осуществлении переводов денежных средств и реализации контроля за их функционированием" для меня остался непонятным :-(
В остальном сильных изменений от проекта я не заметил. Внесены некоторые изменения в проектные формулировки, делающие отдельные требования более понятными. В остальном все осталось также.

Последние изменения в законодательстве

Пока законодатели активизировали свои усилия в области СОРМ (например, в части запрета Интернет-телефонии), хочется сделать краткий апдейт по текущей ситуации с законодательством по ИБ и ПДн. Итак, что произошло совсем недавно:
  • ФСО предложила общественности проект Указа Президента Российской Федерации «Проект указа Президента Российской Федерации "Об утверждении Порядка обеспечения связью для нужд органов государственной власти"
  • В "Российской газете" опубликовали текст 378-го приказа ФСБ по защите ПДн. Он вступает в силу 28-го сентября 2014-го года.
  • Президент подписал Распоряжение "О подписании Соглашения о порядке защиты конфиденциальной информации и ответственности за ее разглашение при осуществлении Евразийской экономической комиссией полномочий по контролю за соблюдением единых правил конкуренции"
  • Президент подписал Указ о создании Центра противодействия киберугрозам в рамках ОДКБ
  • Правительство подписало ПП-911 об отмене обязательного обезличивания ПДн в государственных и муниципальных органах, установленное ПП-211. Теперь решение об обезличивании отдается на откуп самого оператору ПДн.
  • ФСТЭК подписала приказ от 28 июля 2014 года №87 "Об утверждении требований к средствам контроля съемных машинных носителей информации". Сам приказ как обычно ДСП, но профили защиты должны скоро выложить на сайт ФСТЭК.
  • Законопроект № 596277-6 "О внесении изменения в статью 4 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" (в части уточнения срока вступления в силу) был рассмотрен и принят в первом чтении. Ко второму чтению текст не поменялся - срок вступления в силу 242-ФЗ все-таки сдвигают на 1-е января 2015-го года.
  • ЦБ выпустил Указание от 14 августа 2014 №3361-У о внесении изменений в 382-П по защите информации в Национальной платежной системе. Про него я напишу отдельно позже.

22.09.14

Впечатления от BIS Summit 2014

Про идеальное мероприятие по ИБ я уже писал неоднократно и вот настало время описать одно из таких (ну или почти таких). Это был прошедший в пятницу BIS Summit 2014 (новое название DLP Russia), который решил уйти от имиджа мероприятия про DLP в сторону большей бизнес-ориентированности. На мой взгляд организаторам это удалось. Про контент много говорить не буду; если честно, то я почти нигде не был и слышал некоторые доклады только краем уха :-) Но судя по комментариям коллег, доклады были интересными и почти неизобилующими рекламой, что уже неплохо.


А вот про организацию расскажу подробнее. Я уже как-то вскользь упоминал, что должно быть на мероприятии и организаторы, видимо, учли. В местах проведения секций (а их было 3 - по DLP, по APT и по юридическим вопросам) висели необходимые указатели, облегчающие поиск залов.


Указатели встречали участников от входа и сопровождали до места регистрации, на котором очередей я не заметил. Выдача бейджей и материалов проходила оперативно. Кстати, в этом году на мероприятии было не менее 620 человек (к обеду именно столько было выдано бейджей), что больше прошлогодних 550.


Но в этом году, помимо очного участия, была организована и онлайн-трансляция, что на мой взгляд было просто офигенно. Многие коллеги, кто не смог приехать, смотрели все действо онлайн. И хотя онлайн сложно общаться с коллегами и задавать вопросу спикерам (у нас в Cisco на многих мероприятиях организованы отдельные команды, транслирующие выступающим вопросы из Интернет) все равно такая редкая на ИБ-мероприятиях возможность может только приветствоваться.

Кстати, об Интернет. BIS Summit 2014 - тот редкий случай, когда мероприятие началось задолго до своего официального открытия президентом BISA, Рустемом Хайретдиновым.


На сайте bis-expert.ru заранее стали выкладываться видео-интервью ключевых докладчиков, чтобы лишний раз подхлестнуть интерес к мероприятию. А само мероприятие очень грамотно было представлено в социальных сетях (как минимум Facebook и Twitter). Я уж не знаю, это выстроенная работа digital marketing или просто результат хорошо организованного мероприятия, впечалениями о котором все готовы были делиться. Но я не помню других мероприятий по ИБ, которые бы так активно обсуждались и "транслировались" в Интернет.


Еще одна приятная неожиданность - неплохой Wi-Fi, организованный не отелем и за деньги, а организаторами. Везде висели указатели имени сети и пароля. Насколько я заметил, проблем со скоростью не было и всем хватало.


Со спикерами работа тоже была налажена эффективно. Тут и заранее присланное письмо с описанием места проведения и сопутствующих вопросов, и комната для докладчиков, где можно было подготовиться к выступлению. Чай, кофе, печенюшки... Все что надо :-)



Из других запомнившихся фишечек BIS Summit 2014:

  • фотобудка для групповых фото

  • художник, страдающий метеоризмом и параллельно делающий шаржи на спикеров
  • подарки для участников
  • призы авторам статей, опубликованных на портале bis-expert.ru
  • непрерывные селфи Андрея Прозорова и Екатерины Старостиной, не упустивших, похоже, никого из участников :-)
Резюме - достойное мероприятие! Мне понравилось.


ЗЫ. Видеозаписи выступлений обещают выложить после обработки.

ЗЗЫ. Я выступал на мероприятии с докладом "Финансовое измерение ИБ. 10 реальных кейсов". Презентацию выложу сегодня попозже.


18.09.14

Роскомнадзор остался без члена

Летом 2012-го года меня пригласили войти в состав Консультативного совета Роскомнадзора по защите прав субъектов персональных данных. В тот момент многие коллеги высказывали скепсис относительно этой структуры. Да и я сам имел неоднозначное отношение к этой структуре. Вот что я писал 2 с лишним года назад: "Ну а дальше началось то, что вызвало у меня двойственное ощущение от Совета. С одной стороны мне, безусловно, приятно включение в состав этой организации, что позволяет надеяться на то, что мое мнение будет услышано. С другой, складывается впечатление, что Общественные и Консультативные советы нужны только для того, чтобы придать уже принятым по сути решениям видимость наличия независимой оценки общественными организациями. Это, кстати, тоже занесу в плюс - понимать как работают такие советы тоже полезно. Но я все-таки надеюсь, что мое впечатление обманчиво и к мнению участников все-таки прислушаются и, что самое главное, учтут."

Теперь, спустя два года могу сказать, что мнение о "ширме" у меня скорее усилилось, чем изменилось в лучшую сторону. А уж после ухода Шередина и вовсе все стало как-то совсем уж худо. И советы проходили редко и законопроекты никакие не обсуждались и мнение ничье не учитывалось. Дошло до того, что некоторые члены КС вышли из него чуть ли не со скандалом, т.к. никакого выхлопа из практических предложений и обсуждений не было.

Я продолжал оставаться членом КС и на последнее предложение продолжить работу я ответил положительно. Было это совсем недавно. 3-го сентября я даже получил приглашение на очередное заседание совета, которое должно было пройти вчера. В понедельник я переписывался с представителем РКН о том, какая у меня должность (видимо решался вопрос о новом приказе о составе КС РКН), а во вторник был опубликован новый список членов совета... уже без меня. Сам список кстати сильно пополнел - число представителей власти увеличилось почти вдвое.

Когда я во вторник увидел обновленный список и имея на руках приглашение о посещении заседания совета, у меня закрались смутные подозрения, что меня там не ждут. Причину такого поворота я до конца не понял. То ли моя работа в представительстве американской компании, то ли мое письмо в РКН по поводу 242-ФЗ (на тот момент еще законопроекта). Кстати, на письмо мне так никто и не ответил. А ведь я его писал не как хрен с горы, а как член Консультативного совета. Видимо кому-то не понравилась критика законопроекта. И этот кто-то известен :-) Письмо было направлено (как выяснилось позже) автору законопроекта о запрете хранения ПДн россиян за границей. И вот то ли первое, то ли второе, но повлияло на решение РКН об исключении меня из состава членов.

Но у чиновников как-то непринято уведомлять о таких решениях. Поэтому я во вторник вечером решил уточнить, по ошибке меня нет в списке или со злым умыслом?.. И вот вчера я получил ответ, поразивший меня глубиной своей проработки. Всего одна фраза: "Вы исключены из состава в связи с несоответствием (изменением) занимаемой должности". Должность у меня не менялась последние 10 лет работы в компании (кстати, я вчера отметил свое первое десятилетие в Cisco). А вот с формулировкой о несоответствии занимаемой должности в качестве причины исключения человека из общественного совета я сталкиваюсь впервые. РКН просто отжег :-)

Вот так закончилась моя эпопея с членством в Консультативном совете РКН по защите прав субъектов персональных данных. Благодарю коллег за сотрудничество и желаю КС РКН продолжать также успешно работать на благо российских граждан!

ЗЫ. Кстати, законопроект о переносе сроков вступления в силу 242-ФЗ с 01.09.2016 на 01.01.2015 будет рассмотрен в ГД в первом чтении в эту пятницу, 19-го сентября.

17.09.14

Сказ про вампира-педераста, задушенного импотентом из спецназа

Вообще занятная ситуация сейчас творится в нашей с вами сфере. На ум приходит две картины. Первая навеяна опусами некоторых отечественных акул пера, которые не разбираясь в теме, желая успеть к дедлайну и застолбить за собой право первой ночи, выпускают материалы, которые либо вольно, либо невольно не соответствуют действительности. На просторах Интернета я нашел картинку, которая хорошо иллюстрирует то, что сейчас пишут СМИ (причем в разных странах) на тему текущей обстановки.


Как обычно поступает журналист, которому надо срочно сдать в номер материал? В социальной сети (ФБ или Twitter) находится какой-нибудь "жареный" факт в виде краткой реплики или высказывания неизвестного журналисту человека. Например, "компания Х отказала мне в поставке оборудования". Но это мелко и журналисту малоинтересно. Поэтому он берет первоначальный факт и транслирует его в "компания Х присоединилась к санкциям" или "компания Х прекращает поставки своего оборудования в Россию". Звучит зловеще. К такому заголовку даже текст не нужен - глаз автоматически за него ухватится и у читателя сложится мнение, с которым мы сейчас все сталкиваемся.

На деле может оказаться так, что никакого запрета на ввоз нет, а имело место изменение процедуры ввоза. Или партнер решил ввезти оборудование, которое он раньше не ввозил и по которому он не знаком с правилами оформления документов. Или оборудование новое и постановлено в очередь на изготовление. Или наоборот оборудование снимается с производства и заказы на него уже не размещаются. И ладно бы автор статьи или ее читатели решили самостоятельно разобраться в ситуации и провели бы свое мини-расследование. Нет! Вера на слово и распространение слухов. Мне напоминает такое отношение к новостным заголовкам классику советского кино:



Тут впору давать ссылку на рекомендации бывшего главреда издания Lenta.ru Галины Тимченко, которая советовала, как надо читать отечественные СМИ:


К сожалению, этой панике подвержен не только обыватель, но и специалист по ИБ, который начитавшись Интернет и СМИ и наслушавшись коллег-"специалистов", принимает все за чистую монету. И все это вместо того, чтобы спокойно разобраться самому, перепроверить "факты" по нескольким источникам или просто немного выждать, когда ситуация уляжется и рассосется сама собой.

Я хочу напомнить читателям начало 2010-го года. Тогда, Таможенный союз (Россия, Казахстан и Белоруссия) ввели новые правила ввоза шифровальных средств. Для многих производителей это была совершенно новая процедура, к которой многие были просто не готовы. Заказчики стали сталкиваться с увеличением срока поставки запрашиваемого оборудования, а иногда и с требованием оформления каких-то запросов в ФСБ. СМИ тогда тоже подхватили эту тему, преподав ее как "запрет на ввоз в Россию западной криптографии" (приведенные выше примеры про запрет поставки оборудования или присоединение к санкциям как раз мне встретились 4 года назад, а не сейчас, как могли подумать многие). А ведь никакого запрета не было - было всего лишь изменение процедуры ввоза. Через несколько месяцев ситуация устаканилась, производители разобрались с новыми правилами таможни, ФСБ и Минпромторга и зажили как раньше.

Еще раньше российский офис Cisco переходил на схему DDU. Это полностью меняло всю схему логистики и доставки продуктов в Россию. И тоже некоторые желтые издания извратили связанное с изменением цепочки поставки время доставки наших решений до конечного потребителя, превратив его сначала в уход Cisco из России, потом в снижение объема продаж, потом еще в какую-то ахинею. И вновь опасения СМИ не оправдались, и мы вернулись к нормальному процессу логистики.

Аналогичная ситуация произошла совсем недавно, в июле. Жителя Ульяновска хотят наказать (кто-то даже пишет, что чуть ли не арестовывают) за неверное декларирование заказанного на зарубежном Интернет-магазине смартфона. "Демократические" и оппозиционные СМИ начинают кричать о кровавой гебне, закручивающей гайки даже для обычных граждан, желающих приобщиться к прогрессу и заказывающих в Интернет-магазинах товары для личного потребления. Тогда еще так "удачно" сложилось, что власти решили уменьшить сумму, на которую в Интернет можно было покупать товаров. А ведь ничего нового или сверхъестественного не произошло - правила игры были известны несколько лет. Скажу более. Регуляторы были лояльны в течение нескольких лет и не требовали от физлиц соблюдения условий декларирования товаров, попадающих под определенные ограничения. И только когда таможня решила выполнить возложенные на нее обязательства (нужны они или нет - другой вопрос), все заголосили о запретах и ограничениях. Только вот ни граждане про их существование не знали, ни журналисты не удосужились их изучить перед своими "разоблачениями". Зато шумиха была знатная.

Вот и сейчас ситуация сейчас ровно такая же. Неразбериха, непонимание сложившихся и измененных процессов, слухи, желание "жареного", журналисты, постоянно подливающие масла в огонь... Исправить эту ситуацию мне не под силу. Я вообще не хотел про нее писать, считая, что специалисты в отрасли - люди здравые и умеют отделать мух от котлет, а слухи от реальности. Но увы :-( В ФБ эта тема стала всплывать с завидной регулярностью. Постоянно идут ссылки на доверенные (но неназванные) источники, на виденные (но непоказываемые) документы. И многие ведутся :-(

Поэтому, в качестве завершающего аккорда, я бы вновь обратился к классике советского кино, в котором дан рецепт, как безболезненно для душевного спокойствия и пищеварения пережить непростое время, в котором нам довелось жить последние месяцы и, возможно, придется жить еще какое-то время:



Как-то так...

16.09.14

Мое выступление на BIS Summit

19 сентября Москва в очередной раз встретит конференцию BIS Summit, ранее называемую DLP Russia. Такое изменение название связано в первую очередь с некоторой сменой фокуса у мероприятия с тематики утечки информации в сторону большей бизнес-ориентированности. Пригласили выступить на мероприятие и меня. Если в предыдущие года я фокусировался сначала на требованиях к DLP-решениям и законодательстве в области ИБ, то в этот раз наступлю на больную для многих мозоль финансового измерения ИБ.

К сожалению, времени выделено мне совсем немного, - всего 20 минут. Поэтому решил в этот раз не растекаться мыслью по древу, а привести 5 реальных кейсов, показывающих успешный и неуспешный опыт финансового обоснования проектов по ИБ в компаниях разных - отечественных и зарубежных, крупных и не очень. Задача перед мной поставлена (мной же) простая - показать возможные пути решения данной непростой задачи и показать, что, к сожалению, никакого универсального способа удовлетворения нужд бизнеса и безопасников нет. В каждом случае это особая, а местами уникальная ситуация и исходные данные, которые сложно транслировать на другие, даже схожие по бизнесу и масштабу компании. Однако при этом есть и ряд ключевых общих для многих ошибок, которые я тоже постараюсь рассмотреть в своей небольшой презентации. В заключение приведу пример проверенной структуры бизнес-кейса, которая помогает обосновывать перед бизнесом проекты по ИБ.

Приходите или подключайтесь дистанционно, будет интересно.