05.03.15

Управление ИБ в условиях текущей неопределенности (презентация с RISC)

Вторая презентация с семинара RISC, посвященная управлению ИБ в условиях текущей неопределенности в отрасли, в экономике, в компании, в отделе...


Первая презентация с семинара RISC по актикризисной стратегии ИБ

Первая презентация с семинара RISC по антикризисной стратегии информационной безопасности. Начали мы с интерактивных ИБ-игрищ "А что если?.."


04.03.15

Новости по сертификации средств защиты информации

Продолжаю вспоминать конференцию ФСТЭК. На этот раз поговорим о выступлении Дмитрий Шевцова, который представил нововведения по части сертификации средств защиты информации. Начну с критики - любовь наших госорганов к статистике иногда затмевает смысл ее использования. Вот возьмем к примеру слайд с количеством сертифицированных средств защиты. Что он означает? Количество наименований? Количество типов? Количество копий? Количество сертификатов? А фиг знает. Аналогичный вопрос и по количеству произведенных средств защиты. Что значит произведенных? Как вообще можно сравнивать, например, число произведенных МСЭ и СЗИ от НСД?


Ну да ладно. ФСТЭК отметил в этом году перелом - число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты. В условиях текущей геополитической ситуации это логично; хотя разрыв мог бы расти быстрее. Особенно в условиях взятого курса на импортозамещение.


ФСТЭК видит в качестве основных направлений совершенствования системы сертификации средств защиты три темы:

  • разработка и совершенствование требований к средствами защиты информации и методических подходов к их сертификации
  • совершенствование порядка аккредитации органов по сертификации и испытаттельных лабораторий
  • совершенствование порядка сертификации средств защиты информации.

Большинство потребителей интересует в первую очередь первое направление. Оно и понятно. Наибольшее число потребителей сталкивается именно с ними и их интересует, что будет делать регулятор в ближайшее время. А будет он расширять число типов средств защиты, под которые будут "подложены" свои требования. ФСТЭК в данном случае последовательно выполняет обещанное при выпуске 17-го приказа - под каждое требование, которое может быть закрыто средством защиты, разрабатывает свой РД с требованиями к средствам защиты.


Помимо отображенных на рисунке типов средств защиты информации ФСТЭК также планирует разработать требования для:

  • средств защиты виртуализации
  • BIOS (у ФСБ есть аналогичный документ)
  • операционных систем (в свое время проекты таких профилей уже были сделаны) 
  • СУБД.
По части защиты от утечек по техническим каналам у ФСТЭК тоже большие планы. Планируется утвердить РД для:
  • Средств активной защиты информации от утечки по каналам ПЭМИН (утверждены, направлены в Минюст на регистрацию).
  • Средств виброакустической защиты информации (утверждены, направлены в Минюст на регистрацию).
  • ПЭВМ, защищенным от утечки информации по каналам ПЭМИН (2015 год).
  • Средств пассивной защиты информации от утечки по каналам ПЭМИН (2016 год).
  • Средств защиты информации от утечки за счет микрофонного эффекта (2016 год).
Те, кто занимается сертификацией, знает, что испытательные лаборатории иногда, мягко говоря, спустя рукава подходят к процессу. Поэтому ФСТЭК уже пару лет назад как запланировал выпуск типовых программ и методик сертификационных испытаний средств защиты информации. В нынешнем году это должно произойти. Кстати, американцы, проводящие сертификацию по "Общим критериям" уже пару лет также идут в этом направлении.


Еще одним направлением, которое ФСТЭК взяла на флаг, совпадает с тем, чем сейчас занимается Банк России, - повышение качества ПО. Специально для этого ФСТЭК не только выпускает ГОСТы по управлению уязвимостями (разработаны и должны быть скоро опубликованы) и ГОСТ по разработке защищенного ПО, но и анонсирует базу уязвимостей, о которой я еще напишу.

Про новые правила аккредитации испытательных лабораторий и органов по сертификации я писать не буду, а вот анонсированный на конференции ФСТЭК новый порядок и организация проведения сертификации продукции, используемой в целях защиты информации конфиденциального характера, у меня вызвал интерес. Разрабатывается он во исполнение пресловутого и уже порядком подзабытого ПП-330, с которого решили сдуть пыль. Деталей про этот новый порядок озвучено не было - видимо документ только находится на начальной стадии своей разработки.

Ну и в заключение Дмитрий Шевцов анонсировал порядок продления сертификатов ФСТЭК на средства защиты информации, у которых подходит срок окончания сертификатов. Сам порядок уже выложен на сайте регулятора.

03.03.15

Интерактивные ИБ-игрища продолжаются

В Магнитогорске, в последний, практический день, мы с организаторами (Авангард-Про и Банк России) решили немного разбавить стандартные доклады и мастер-классы чем-то новым. Выбор пал на модную тему киберучений, которые собственно и были реализованы. По идее речь идет о бизнес-игре, ориентированной не на технарей, а на руководителей по ИБ, которые далеки от всяких CTF и тому подобных "хакерских" мероприятий. В технике они уже плавают (за редким исключением), а почувствовать себя в роли нападающего хочется :-)

Команда "хакеров"
Вот для такой ситуации и предназначены "штабные учения" по кибербезопасности, в рамках которых участники, стоящие на стороне нападающих, могут попробовать "смоделировать" атаку на своих оппонентов, а последние в свою очередь должны оперативно ее "отразить". Разумеется речь не идет о чем-то глубоко проработанном - это некий блиц "вопрос-ответ", в котором моделируются различные угрозы и способы им противодействия. Масла в огонь подливает жюри, которое делало внезапные вводные - "вам пришел запрос от Банка России на подготовку 202-й формы отчетности и вы все время тратите на нее, не имея возможность участвовать в работе команды" (это вводная команда защитников) или "вы поехали на DefCon и вас задержали представители американских спецслужб, временно выведя вас из строя" (вводная для "нападавших").

И вот в таком режиме "вопрос - ответ" киберучения и проходили. Наша задача была показать широту возможных угроз для банка - от банальных атак на ДБО до очень специфических угроз, о которых мало кто думает заранее - "завершение лицензии ФСБ и приход в этот момент проверки ФСБ вместе с УБЭП", "подарок свыше 3000 рублей для руководителя ИБ банка с государственным участием" или "вендор пригласил вас в зарубежную поездку и вас обвинили в коррупции". Разумеется, за тот час, что был выделен на киберучения, все угрозы смоделировать не удалось, но мероприятие прошло весело и, судя по отзывам коллег, понравилось многим.

Первый опыт оказался не комом. Да и идей на будущее родилось немало. Одну из них мы попробуем реализовать уже 5-го марта, на втором очном мероприятии RISC в Санкт-Петербурге. В этот раз это будут ИБ-игрища "А что если?.." Идея схожая, но ориентирована эта интерактивная игра будет на борьбу с кризисом в деятельности службы ИБ.

Посмотрим, что получится в этот раз...

Магнитогорск: послевкусие

С регуляторами, выступавшими в Магнитогорске, вроде разобрались. Если вспоминать заметку месячной давности, то на 4 интересовавших меня вопроса, я получил от ЦБ исчерпывающие ответы, исключая, пожалуй, тему FinCERT. Точнее ответы-то я получил, но пока центр реагирования не заработал, судить о корректности ответов достаточно сложно. Поэтому мои ожидания от ЦБ оправдались и даже больше. От РКН и ФСТЭК я никаких откровений не ждал, поэтому просто получил удовольствие от хороших докладов "по делу". 8-й Центр ФСБ... Ну тут было все понятно заранее, поэтому ничего нового я для себя не открыл - что отрасль интересовало - на то ответов не было, а что не интересовало, то было зачтено по бумажке. Исключение, пожалуй, составляет тема отечественного HSM в НСПК. Она представляла что-то реально новое.

Организатор в лице Авангарда-Про расстарался на славу и мероприятие вышло на славу - я не вспомню ни одного косяка ни в один день - все было на уровне - организация, питание, проживание, культурная программа, трансфер... Особенно понравилось мобильное приложение, в котором можно было оценивать докладчиков, формировать свою программу, отслеживать новости мероприятия и т.п. Мне кажется за таким форматом будущее - для масштабных мероприятий мобильное приложение делать гораздо выгоднее, чем пытаться напечатать кучу макулатуры, которую все выбрасывают в первый же день. Да и интерактива у мобильного приложения больше - при правильном использовании его еще и монетизировать можно.

Организаторы в ожидании перерыва в заседании :-)

Круглые столы, которых было много и которые позволяли уйти от набивших оскомину рекламных докладов, полностью соответствовали идее. Но я лишний раз убедился, что в круглом столе самый важный человек - модератор. Если он не пускает все на самотек, то мероприятие получается на славу - оно живет, пульсирует, вызывает реакцию у аудиторию и живую дискуссию.

Круглый стол про взаимодействие интеграторов, заказчиков и вендоров (интегратор не пришел)

Такое бывает не так часто, к сожалению, на мероприятиях по ИБ. Либо модератор не в теме, либо он пускает все на самотек, либо перетягивает одеяло на себя и превращает круглый стол в монолог и восхваление себя. Найти золотую середину непросто. В Магнитогорске где-то удалось это сделать, а где-то нет. Но как бы то ни было народ сидел на круглых столах и слушал; и даже без пива как в прошлом году :-) А значит формат мероприятия всем понравился - народ изголодался по живой дискуссии и общению.

Вечерний круглый стол по импортозамещению
Спонсоры в этом году не донимали, а может я просто уже привык к ним :-) Но лишний раз глаза они не мозолили, выстроившись либо на заднем ряду в зале, либо по периметру холла перед залом заседаний.


При этом некоторые из них доказали тот факт, что только правильная подготовка может помочь выделиться на фоне остальных участников и привлечь внимание к своему стенду. Тот же Positive Technologies устраивал прикольные бега роботараканов :-) А Инфотекс пошел по пути импортозамещения в традиционной для русской зимы теме и дегустации чисто русских напитков :-)

От французской бурды к русском импортозамещению

Как-то отмечать доклады я бы не хотел - с презентациями можно ознакомиться на сайте мероприятия. Не потому что ничего не было интересного - просто интересного как раз было немало, но пересказывать бессмысленно, а записей видео все равно нет. Но, как и предполагалось, наиболее интересны были доклады представителей банков - оно и понятно, они делились практикой, которая всегда интересна. Доклады вендоров и интеграторов, которые реально были интересны, можно пересчитать по пальцам одной руки. Все-таки в следующем году надо их в отдельный зал трансгрессировать, отдав основной полностью под доклады банков или прошедшие жесткий контроль программного комитета :-)

Вот как-то так :-)

ЗЫ. Меня спросили на копии блока на securitylab.ru, где взять книги, которые я упоминал в прошлый раз? Отвечаю - не знаю. Как и предполагалось, они оказались эксклюзивными и пока нигде больше я их не видел.

02.03.15

Об АРСИБ. Напоследок

В связи с тем, что руководство АРСИБ обвинило меня сегодня в том, что я получаю взятки за их очерчение, но отказалось представить хоть какие-то доказательства, я принял решение больше никогда не упоминать в своих заметках, статьях или презентациях имя этой ассоциации.  Либо хорошо, либо ничего. Хорошего мне сказать нечего. Поэтому лучшим решением теперь будет молчать.

Новости Банка России из Магнитогорска

Про то, что говорили ФСТЭК и РКН в Магнитогорске, уже написали Андрей Прозоров и Михаил Емельянников - повторяться не буду. Я коснусь новостей от Банка России, которые мне хотелось бы выделить особо и которые в презентации не высветишь из-за нехватки времени. Если взглянуть на мероприятие с высоты птичьего полета, то у меня в голове прочно засели три ключевых темы, с которыми у меня ассоциируется нынешний магнитогорский форум:
  • повышение качества ПО
  • центр реагирования на угрозы FinCERT
  • СОПКА.
Первая тема в банковской среде имеет старую историю. Еще в позапрошлом году затевалась история с сертификацией по требованиям безопасности автоматизированных банковских систем и платежных приложений. В качестве структуры, которая должна была возглавить эту инициативу отдельных работников Банка России, предлагалась АБИСС. Потом эту тему похоронили и вот в этом году ей вновь придали ускорение. Причем очень сильное - сам Совет Безопасности своим решением поручил Банку России проработать вопрос повышения качества защищенности платежных и банковских приложений.

На форуме называлось два варианта решения этой задачи - через СРО (ту же АБИСС) и через техническое регулирование. Но в обоих случаях требуется изменение законодательства - либо закона "О саморегулируемых организациях", либо закона "О техническом регулировании". В первом случае в СРО должны войти (или их туда войдут) помимо банков еще и разработчики, а также интеграторы и консультанты. Не уверен, что это будет АБИСС (все-таки дискредитировала себя это организация не хуже АРСИБа). Во втором случае ЦБ придется стать (или создать) органом по сертификации, чего Банк России не хочет и отбивается всеми силами. Но какой-то из сценариев ЦБ придется реализовывать; как только с FinCERTом разберется.

FinCERT - это вторая головная тема уральского форума. О нем говорили в прошлом году, прощупывая почву и получая негласное (а местами и гласное) одобрение рынка. Но потом случился Крым и Банк России переключился на более приоритетные вопросы. И вновь помог Совет Безопасности, который принял решение о создании этой организации, которая (как и любой CERT в России) должна работать в тесном сотрудничестве с ФСБ России. И хотя заместитель ГУБЗИ Артем Сычев оптимистично настроен в отношении данной структуры, я пока настроен скептически. Причин тому несколько. И определенная бюрократия, которая будет сопровождать FinCERT, являющийся частью ГУБЗИ Банка России, и завеса секретности, покрывающая все, к чему прикасается ФСБ, и отсутствие законодательной базы для работы FinCERTа (до мая я считаю просто нереально внести и принять все поправки в законодательство), и отсутствие понятной процедуры и форматов, по которым будет работать FinCERT. Самое главное, непонятно, что получат банки от FinCERTа? Черные списки IP-адресов и вредоносных доменов? Списки дропперов? Анализ вредоносного кода? Правила для антифрода? Другие данные Threat Intelligence? Что? А кто их будет готовить? В ЦБ такой возможности нет. Ждать их от банков? Но опыт отправки 203-й формы отчетности показывает, что банки не стремятся слишком активно помогать ЦБ. Ее будет готовить FinCERT? Банк России будет закупать эту информацию у специализированных компаний? Вопросов пока больше, чем ответов.

К слову сказать, американский аналог FinCERT, FS-ISAC, занимается распространением только технической информации о вредоносных адресах, доменах, программах и т.п.




Третья тема, поднятая в Магнитогорске, - государственная система обнаружения, предотвращения и ликвидации последствий компьютерных атак, СОПКА (хотя СОПеЛКА было бы более правильно :-). Поднята она была на пленарном заседании, что говорит о том, что банкам стоит к ней присмотреться. Тому есть две причины. Первая - с СОПКОЙ плотно будет работать FinCERT, передавая туда информацию, получаемую от банков и переработанную FinCERTом. Вторая - все те, кто попадет под действие закона "О безопасности критической информационной инфраструктуры" обязаны будут подключиться к СОПКА. Хотя, надо признать, само выступление о СОПКА было никакое. Ну вот совсем никакое. Зачитывание согласованной всеми инстанциями бумажки никогда не бывает интересным, а уж со стороны человека, не имеющего опыта публичных выступлений, тем более. Да и деталей никаких о системе, кроме всем известных из 31-го Указа Президента, озвучено не было. 

Отдельно стоит остановиться на теме НПСК. Про нее почти не говорили, однако одна тема была озвучена, опять представителями ФСБ. Речь идет о переходе НСПК на отечественную криптографию в обозримом будущем. Представители 8-го Центра как раз и рассказывали о отечественном HSM и планах по его внедрению в НСПК (за счет банков, разумеется, как и в случае с PCI DSS). За HSM последует отечественная чиповая карта. Называется и временной интервал, в течение которого это все произойдет - 5-7 лет (именно столько длится жизненный цикл банкомата, который придется оснастить вторым HSM, в дополнение к первому, поддерживающему международные платежные системы Visa и Master Card). Вскользь была упомянута необходимость сертификации отечественного HSM по требованиям FIPS 140, ибо таковы условия Visa и Master Card к "своим" HSM. И вот тут у меня, почему-то, есть сомнения, что отечественный HSM сможет получить эту американскую бумажку. И дело даже не в том, что этот HSM надо еще вывезти из России и ввезти в США...

Еще одна тема, которой стоит посвятить как минимум один абзац - ДНПС. Было очевидно, что этот департамент переживает не лучшие времена. Идея с рисками ИБ была успешно им профукана и, говоря о рисках ИБ, ДНПС все равно в 382-П вписывает жесткие требования по ИБ, невзирая на то, есть ли риски, для снижения которых обязательные защитные меры 382-П предназначены. Ведь мы не можем отказаться от каких-то защитных мер из 382-П. А тот 379-П или 2695-У говорят о том, что за оценку операционных рисков и рисков бесперебойности функционирования платежной систем проводит не ЦБ (как это сделано в 382-П), а оператор платежной системы или оператор по переводу электронных денежных средств. Обещанный на прошлом форуме сдвиг в сторону управления рисками так и не произошел.

В 2012-м и 2013-м годах были планы по разработке новых документов по безопасности, устанавливающих отдельные требования по защите информации при переводе электронных денежных средств, ДБО, платежных карт. И если ГУБЗИ новые требования оформляет в виде отдельных РС (планов по развитию СТО БР ИББС озвучены тоже были), то ДНПС сейчас пошел по пути универсализации всех требований в рамках 382-П.

Блоки требований 382-П

Также профукана 202-я и 203-я формы отчетности. Сводная информация по 203-й форме отчетности не публиковалась уже два года, а по 202-й ее не публиковалось вовсе. И хотя ДНПС обещал это сделать в марте, что-то верится с трудом. Зачем она вообще тогда нужна? Чтобы знать, что две трети всех организаций находится на удовлетворительном уровне?

Предварительные результаты анализа 202-й формы отчетности

Или что число инцидентов в ДБО растет?

Предварительные результаты анализа 203-й и 258-й форм отчетности
203-ю отчетность никто отменять не планирует и отдавать ее под эгиду FinCERT тоже. И по причине ее неоперативности, и по причине того, что она создавалась в целях надзора в НПС, а FinCERTу нужна другая информация. Сливать 203-ю и 258-ю тоже пока никто не будет - 258-я форма запускалась в целях развития НПС, а 203 - в целях надзора. Поэтому они пока будут сосуществовать параллельно.

Относительно проверок по вопросам соблюдения требований по защите информации было сказано, что самостоятельных проверок по данной тематике не проводится - Банк России практикует либо проверки комплексные, либо дистанционный надзор, в рамках которых и проверяется выполнение требований по защите. Зато интересно было послушать про проверки, проведенные Нацбанком Башкирии - хозяином мероприятия. Они выделили 5 ключевых нарушений:
  • Отсутствие в филиалах кредитных организаций служб информационной безопасности либо лиц, осуществляющих соответствующие функции (п.2.11.2 Положения 382-П) 
  • Формальное отражение либо отсутствие во внутренних документах кредитных организаций порядка применения организационных и технических средств защиты информации (п. 2.14.1 Положения 382-П)
  • Завышение (занижение) оценок при проведении кредитными организациями оценок соответствия требованиям к обеспечению защиты информации при переводе денежных средств согласно Положению No382-П
  • Уничтожение защищаемой информации, в том числе содержащейся в архивах, способами, не обеспечивающими в полной мере невозможность ее восстановления (п.2.5.6 Положения 382-П)
  • Нарушение запрета выполнения одним лицом в один момент ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры (п.2.4.2 Положения 382-П).

Понимая, что многие банки завышают или, наоборот, занижают результаты оценки по 202-й форме, ЦБ планирует разработать методику проведения проверок кредитных организаций. Тут, правда, вопрос возникает закономерный. А что делать тогда с 157-Т 2013-го года, который и содержит эту методику? Вопрос открытый.


Какие еще новости озвучивались Банком России в Магнитогорске?
  • Подготовлены изменения в законодательство направленное на противодействие преступлениям в финансовой сфере с применением современных технологий – в ФЗ-395-1, ФЗ-86 и ФЗ-161, в статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152 УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ, а также изменения в АПК.
  • Отраслевая модель угроз ПДн вновь переписана и вновь отправлена на согласование в ФСТЭК и ФСБ.
  • ЦБ уходит от подхода неактуальности угроз 1-го и 2-го типов, отдавая решение этого вопроса на откуп каждой кредитной организации.
  • Переподписания "письма шести" не будет.
  • PCI DSS не упоминался ни разу во время всего мероприятия. И это при том, что сейчас на финишную прямую вышел перевод на русский язык 3-й версии PCI DSS, который делает компания "Дейтерий", а также тот факт, что в самое скорое время выходит PCI DSS 3.1, в котором произойдет отказ от SSL в сторону TLS. Хотя в условиях текущей геополитической ситуации неупоминание PCI DSS со стороны Банка России было вполне предсказуемым.
Вроде как все ключевые новости отразил. Получилось даже больше, чем в 15-тиминутной презентации.

Форум по ИБ банков в Магнитогорске за 15 минут

21 февраля закончился уральский форум по ИБ банков. Свои впечатления я оформил в виде своей итоговой презентации, которая описывает ключевые (на мой взгляд) положения этого достойного мероприятия.



Андрей Прозоров (за что ему большое спасибо) сделал запись моего выступления.



Однако, презентация все-таки описывает далеко не все, что происходило на форуме и что бы мне хотелось рассказать. Поэтому в следующей заметке я коснусь отдельных моментов чуть более детально.

28.02.15

Установлены требования Банка России по защите информации для бирж

15-го января я опубликовал слайдкаст про проект требований по защите информации к организаторам торговли. Мне было невдомек, что к тому моменту это уже был не проект, а утвержденное положение Банка России №437-П от 17.10.2014 "Положение о деятельности по проведению организованных торгов".

Обновил под это дело презентацию со слайдкаста:


26.02.15

APT и АСУ ТП - горячие темы на IDC IT Security Roadshow в Москве

18 марта в Москве пройдет очередное мероприятие в рамках IDC IT Security Roadshow 2015. Я буду вести на этом мероприятии две секции, посвященных целенаправленным угрозам и безопасности АСУ ТП. Мероприятия IDC снискали славу хорошо организованных, но изобилующих рекламой. Я попробую вторую часть немного исправить :-)

Секция по APT

Термин "целенаправленная атака" (Advanced Persistent Threat, APT) появился в 2006 году, но до сих пор эксперты спорят о том, что это такое? Представляют ли эти атаки что-то новое, или это просто маркетинг со стороны производителей, которые ищут новые способы для продвижения своих решений? Может ли всего одно устройство или программа спасти от целенаправленной атаки или необходимо приобретать целый ряд различных решений, направленных на различные вектора, используемые целенаправленными атаками? Куда будут развиваться целенаправленные атаки в ближайшем будущем и к чему стоит готовиться уже сейчас?

Вопросы для обсуждения на секции я выбрал следующие:
  • Что такое целенаправленная атака с точки зрения производителя и потребителя?
  • Кому больше всего стоит опасаться целенаправленных угроз?
  • Как выстроить систему защиты от целенаправленных угроз?
  • Можно ли использовать уже существующие решения или необходимо приобретать что-то новое?
  • Как выстроить собственную систему раннего предупреждения о проникших во внутреннюю сеть целенаправленных атаках?
На данный момент дали свое согласие поучаствовать в этой секции известные в отрасли люди:
  • Александр Виноградов, руководитель ИБ Златкомбанка
  • Лев Шумский, руководитель ИБ Банка Связной.
  • еще несколько кандидатур находится в стадии согласования.
Как видно, пока в дискуссии первую скрипку играют представители банков, но оно и понятно. Они те, кто чаще всего сталкиваются с тем, что часто называют целенаправленной угрозой. Однако я надеюсь, что в дискуссии примут участие представители и других отраслей. Ну и, конечно, буду активно вовлекать аудиторию зала в живую дискуссию.

Секция по АСУ ТП

Тематика информационной безопасности в АСУ ТП набирает обороты. Еще недавно все говорили о Stuxnet, как о колоссальной проблеме для объектов ТЭК, и вот уже в конце 2014-го года появляется информация о взломе АСУ ТП металлургического комбината. Не столь известными стали атаки на транспортные системы, системы управления водоснабжением и канализацией, системы управления процессами приготовления продуктов питания… Что это? Очередные газетные утки? Страшилки производителей средств информационной безопасности? Первые проявления спецопераций в киберпространстве? Обо всем этом мы поговорим с представителями разных стороны баррикад – с теми, кто торгует страхом, и с теми, кто пытается с ним бороться в реальной жизни.

Вопросы для обсуждения:
  • Что реально движет безопасностью АСУ ТП в России – реальные риски или планируемое ужесточение законодательства?
  • Были ли реальные инциденты с ИБ АСУ ТП в России или мы дуем на воду?
  • Насколько готовы АСУТПшники к новой для себя теме?
  • А насколько готовы игроки рынка ИБ?
  • Как совместить отсутствие в России отечественных средств защиты АСУ ТП и курс на импортозамещение?
В дискуссии примут участие представители российских и международных компаний, которые на практике сталкиваются и с реальными угрозами, и с требованиями регуляторов, и с наседанием интеграторов и вендоров:

  • Андрей Кондратенко, ведущий эксперт, СО ЕЭС
  • Петр Павлов, специалист по промышленным ИТ-системам, производственная компания FMCG-сектора
  • Илья Борисов, руководитель по информационной безопасности, ThyssenKrupp Industrial Solutions СНГ.
Вот такая программа планируется с моим непосредственным участием :-) Приходите, будет интересно.

ЗЫ. Тем, кто задается вопросом, почему нет заметок по итогам Магнитогорского форума, отвечаю - болел. Только оклемался. Наверстаю. Раскрою то, что еще никто не раскрывал :-)

19.02.15

Какие требования по защите предъявляются к СМЭВ?

В п.71 приказа Минкомсвязи от 27.12.2010 №190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» говорится, что в целях обеспечения защиты информации, содержащейся в информационных системах, подключенных к системе взаимодействия, участники информационного взаимодействия должны исполнять установленные требования по информационной безопасности. Я решил запросить Минкомсвязь о том, где установлены данные требования и получил ответ:


Мы вновь видим 17-й приказ ФСТЭК. Может быть пора уже прекратить искать обоснования ухода от невыполнения 17-го приказа? Все равно ничего другого, устанавливающего требования, у нас нет.

Если вас не устраивает 17-й приказ, то может быть стоит потратить усилия на его улучшение? Тем более, что ФСТЭК сама приглашает всех желающих для участия в процессе улучшения.

ЗЫ. Всем интересующимся, когда же будут заметки про Магнитогорский форум, хочу сказать, что все публикуется в онлайн в Твиттере. Правда, Facebook я заспамил своими твитами :-) Подытоживать я буду уже на следующей неделе.

Сколько нужно сертификатов на МСЭ для реализации 120-го приказа Минкомсвязи?

Продолжая утреннюю заметку, хотелось бы привести еще один ответ Минкомсвязи на вопрос, который возникал уже неоднократно и который мне задавали заказчики и слушатели на разных мероприятиях. Он простой.

В п.7 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» говорится о том, что межсетевые экраны, обеспечивающие контроль за информацией, поступающей в информационную систему, должны быть сертифицированы по требованиям ФСБ России. А в п.8 этого же приказа говорится, что межсетевые экраны должны быть сертифицированы по требованиям ФСТЭК России.

Аналогичные требования установлены в п.1 и п.2 приказа Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой».

Я просил разъяснить, используемые в информационных системах, регулируемых данными приказами, межсетевые экраны должны быть сертифицированы в обеих системах сертификации ФСБ России и ФСТЭК России или достаточно сертификата соответствия только одной из двух систем сертификации? Как мы знаем, продуктов сертифицированных в обеих системах сертификации у нас всего 3 (если я не ошибаюсь) и поэтому не совсем разумно требовать сертификат сразу двух систем - это сильно сужает возможность выбора для заказчиков.

Но вот Минкомсвязь разъяснил свои требования. Сертификатов нужно два!


ЗЫ. Может стоит все-таки посмотреть на 17-й приказ?..

Кем определяются уровни/классы защищенности в приказах 390/120/190/221 Минкомсвязи?

Кто смотрел мой недавний слайдкаст про требований по защите информационных систем госорганов, отличных от 17-го приказа ФСТЭК, могли обратить внимание, что в некоторых документах есть не до конца понятные пункты.

В частности, в п.9 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» говорится о том, что требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы.

Аналогичное требование установлено в п.3 приказа Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой». 390-й приказ уже отменили, но 120-й продолжает действовать.

В п.66 приказа Минкомсвязи от 27.12.2010 №190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» говорится о том, что подсистема информационной безопасности каждой информационной системы, подключаемой к системе взаимодействия, должна обеспечивать установленные законодательством Российской Федерации уровни защищенности информации, обрабатываемой в этой системе.

О классах защищенности говорится и в п.22 приказа Минкомсвязи от 02.09.2011 №221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения».

Я сделал запрос в Минкомсвязь и в понедельник получил ответ. Вполне закономерно Минкомсвязь отослала всех к приказу №17 ФСТЭК России.




17.02.15

Коллизия ФЗ-531 и ФЗ-242 в части хранения ПДн россиян за пределами РФ при оказании госуслуг

Те, кто внимательно следит за хитросплетениями законодательства в области защиты информации и персональных данных, тот помнит, что 31-го декабря ушедшего года было принято два федеральных закона - 529-ФЗ и 531-ФЗ. Первый внес поправки в ФЗ-242 и перенес дату вступления его в силу с 1-го сентября 2015-го года. С этой даты "первичный" сбор ПДн россиян может производиться только на территории РФ, исключая ряд ситуаций, в том числе и обработку ПДн для оказания госуслуг. Иными словами, данная норма разрешает собирать, хранить и актуализировать ПДн россиян за пределами РФ, если это делается каким-либо госорганом в рамках оказания госуслуг.



С другой стороны, ФЗ-531 внес поправки в ФЗ-149 и запретил находиться за пределами РФ техническим средствам информационных систем госорганов. Эта норма вступает в силу с 1-го июля 2015 года. Возникла коллизия - один закон разрешает, а второй запрещает. Как быть?


Вот по поводу этой коллизии я и написал в новогодние праздники в Минкомсвязь, а 13-го февраля получил ответ. Первые полторы страницы по сути пересказывают нормы действующего законодательства и в очередной раз упоминают, что Минкомсвязь не уполномочен комментировать законодательство. Значимым является последний абзац, который и отвечает на вопрос - можно или нельзя. Ответ прост - можно!


Правда, Роскомнадзор считает, что надо вносить поправки в законодательство для устранения этой коллизии. Но как и когда, ответа у них пока нет.


К тому моменту, когда РКН созреет до внесения изменений либо из под пера какого-либо из комитетов Госдумы выйдет еще один несогласованный ни с кем закон, либо сменится геополитическая ситуация, либо Роскомнадзор в очередной раз сменит мнение...




Новости ФСТЭК по моделированию угроз

Доклад Елены Борисовны Торбенко из 2-го управления ФСТЭК стал для меня неожиданностью по нескольким причинам. Во-первых, нечасто от регулятора в области ИБ выступает представительница прекрасной половины человечества :-) Во-вторых, ФСТЭК поделилась своим опытом по анализу присланных им в 2014-м году моделей угроз и выделила типовые ошибки, которые посоветовала не повторять. Такое бывает не часто - регуляторы обычно говорят, что надо делать, но редко говорят как. В-третьих, ФСТЭК признала, что далеко не все модели согласовываются - больше половины отправляются обратно на доработку. В итоге у меня сложилось впечатление, что процедура это явно непростая. 



В 2014-м году было рассмотрено свыше 60 моделей угроз - преимущественно от госорганов. Модели от коммерческих организаций ФСТЭК не рассматривает, исключая госкорпорации.


Отдельно было отмечено, что согласование моделей угроз - процедура необязательная; в отличие от согласования актуальных угроз безопасности ПДн, как это предусмотрено в части 5 статьи 19 ФЗ-152. На эту тему была большая дискуссия, касающаяся терминологии. В законе нет ни слова про моделирование угроз - говорится только о перечне актуальных угроз, которые госорганы должны согласовать с регуляторами (ФСТЭК и ФСБ). Поэтому госорганы часто направляют в ФСТЭК просто перечень угроз на 1-2 страничках и ФСТЭК обязан их согласовать. А вот обязанность заниматься моделирование угроз установлена в 17-м приказе ФСТЭК - она действует только для госорганов. Модель угроз для операторов ПДн является рекомендательной и согласовывать ее не надо. А вот для операторов АСУ ТП методика моделирования еще будет писаться - единая методика для этой задачи не подошла. Если резюмировать, то перечень актуальных угроз ПДн (не типов) может составлять только госорган и... (как написано в ч.5 ст.19 ФЗ-152), а вот модель угроз (почувствуйте разницу) может составлять кто угодно - это не запрещено.

Как я уже написал выше, согласовывают далеко не все, - в 2014-м году согласовали менее половины всех моделей угроз и тому есть немало причин, которым и был посвящен доклад Елены Торбенко.

Самая важная ошибка, которую допускают заявители - отсутствие описания структурно-функциональных характеристик информационной системы. Иными словами, ФСТЭК хочет сама убедиться, что вы учли все особенности защищаемой системы. Для этого и нужно к модели (или делать ее частью модели) прикладывать описание (паспорт) информационной системы, включающий в себя:

  • структуру ИС
  • состав ИС
  • взаимосвязи между сегментами ИС
  • взаимосвязи с другими ИС и ИТКС
  • условия функционирования ИС.
ФСТЭК специально уточняет, что не надо отправлять подробный и многостраничный отчет о проведенном аудите или обследовании ИС - нужно только резюме из него. В противном случае время на рассмотрение модели только увеличится.


Вторая ошибка, которая и вызвала мое удивление, - рассмотрение не всех угроз, связанных с особенностями используемых технологий. В качестве примера была приведена технология виртуализации, для которой не учитываются большое количество угроз:


По сути ФСТЭК подменяет специалистов госоргана и берет на себя ответственность за оценку того, какие угрозы для вас актуальны, а какие нет. Смело, ничего не скажешь. Но если ФСТЭК удастся поддерживать эту инициативу на должном уровне, то это будет просто замечательно.

Третья ошибка заключается в неверном определении объектов защиты.

Следующие четыре ошибки при моделировании связаны с элементами термина угроза:

  • Не проводится анализ возможных источников угроз (нарушитель, вредоносная программа, аппаратная закладка и т.д.). Обратите внимание! В новой методике моделирования немало внимания будет уделено оценке потенциала нарушителя (из ГОСТ Р ИСО/МЭК 18045).
  • Не анализируются последствия от действий нарушителя. Многие по привычке оценивают только угрозы нарушения конфиденциальности, забывая про нарушение целостности и доступности.
  • Не учитываются уязвимости, присутствующие в системе. Вообще ФСТЭК стал очень много внимания уделять именно уязвимостям и безопасности ПО. Так что стоит на этот момент обратить внимание.
  • Неверное определение способов реализации угроз.

Восьмая ошибка заключается в забывчивости о необходимости пересмотра модели угроз в связи с внесенными в информационную систему изменениями.

Последние три ошибки связаны с:

  • Использованием при моделировании угроз безопасности устаревшей нормативной правовой базы.
  • Отсутствии перечней нормативных правовых актов, устанавливающих требования к информационной системе.
  • Отсутствием единой терминологии.

С чем я не согласен, так это с тем, что модель угроз не должна содержать перечня защитных мер, направленных на нейтрализацию определенных в процессе моделирования угроз. Я как раз считаю, что перечень защитных мер должен быть именно в модели угроз, чтобы было понятно, зачем это моделирование делалось. Но в любом случае, нарушением это не считается.

Было интересное высказывание Виталия Сергеевича Лютикова, что они планируют разработать ряд типовых моделей угроз для распространенных систем и технологий. Но сроки не определены и боюсь, что учитывая другие планы по более приоритетным документам, до типовых моделей руки не скоро дойдут. Вот только если кто-то из экспертов предложит свои наработки...

ЗЫ. Зато хочу отметить, что почти все эти ошибки я рассматриваю в курсе по моделированию угроз :-)

16.02.15

Новости защиты ГИС или как Барак Обама нарушил бы 17-й приказ, если бы он был российским чиновником

12-го февраля, во время церемонии подписания своего указа об обмене информацией об угрозах информационной безопасности, Президент США признался, что долгое время в качестве своих паролей использовал "классические" - "password" и "123457" :-)

Нарушитель 17-го приказа ФСТЭК гражданин Барак Хуссейнович Обама
Будь Барак Обама российским чиновником, то он бы нарушил 17-й приказ ФСТЭК, а точнее требование ИАФ.4 "Управление средствами аутентификации", которое требует использования пароля не менее 8 символов длиной с мощностью алфавита в 70 символов.

17-й приказ сегодня является наиболее детально прописанным документом по безопасности госорганов (не вдаваясь в детали понятия "государственная информационная система"). Но и он не стоит на месте - в 2016-м году планируется утверждение его второй редакции, о чем было вывешено соответствующее информационное сообщение ФСТЭК 27-го января. Все желающие могут принять участие в его доработке, о чем также было еще раз упомянуто на прошедшей в четверг конференции ФСТЭК "Актуальные вопросы защиты информации" в рамках форуме "Технологии безопасности".


Но не 17-м приказом единым. В прошлом году, на конференции ФСТЭК, были озвучены планы по разработке новых документов, дополняющих и разъясняющих отдельные моменты 17-го приказа. Прошедший год, несмотря на скепсис отдельных коллег, прошел не впустую - ФСТЭК разработала проекты 4-х из 6 документов:

  • Порядок аттестации информационных систем
  • Порядок обновления программного обеспечения и информационной системы
  • Порядок выполнения и устранения уязвимостей в информационных системах
  • Защита информации в информационной системе при использовании мобильных устройств.
Разработка проектов оставшихся двух документов - по реагированию на инциденты и по защите беспроводного доступа - запланирована на второй квартал этого года.



Первая революция в ФСТЭК случилась в 2013-м году, когда на свет вышел 17-й приказ. Вторая должна произойти в этом году, с выходом нового порядка аттестации информационных систем, в которой упор будет делаться не только и не столько на чеклисты (как раньше), сколько на способность системы защиты противостоять реальным угрозам безопасности. По сути новый порядок аттестации является переходным шагом от "бумажной" безопасности к реальной.

На конференции Виталий Сергеевич Лютиков, начальник 2-го управления ФСТЭК, высказал мысль, что "новая" аттестация будет сродни аудиту. Правда, на вопрос из зала о том, что станется с имеющимися двумя ГОСТами, Виталий Сергеевич ответил, что они останутся действовать, так как не сильно пересекаются с новым порядком и является вводной к нему. Не знаю, тут надо будет посмотреть уже на практике, как будут соотноситься эти документы. Пока я (да и не только) скептически отношусь к этому выводу.

Кстати, остается открытым вопрос по квалификации аттестаторов. Согласно закрытому ГОСТу по аттестации - проводить ее для организаций, защищающих обычную конфиденциалку, может любой лицензиат ФСТЭК, а вот там, где есть гостайна, требуется отдельная аккредитация. В целом такое деление логично, но вот требований к первым пока нет и на практике может сложиться ситуация, когда ветераны аттестации будут по старинке проводить аттестацию информационных систем по чеклистам - без проведения аудита, поиска уязвимостей и контроля способности организации обеспечивать постоянный мониторинг ИБ. Ведь этому их никогда не учили. Так что тут я предвижу множество проблем в ближайшее время - аттестаторы будут перестраховываться и заниматься процессом "по старинке".


Второй документ, который был готов еще в прошлом году, стал порядок обновления ПО в информационных системах, включая и ПО средств защиты информации. Но что-то с его выходом затянули. Возможно, нашумевшее в прошлом году прекращение поддержки MS Windows XP (в т.ч. и сертифицированных версий), а также уязвимости Heartbleed и Shellshock (в т.ч. и в сертифицированных средствах защиты информации), повлияли на этот документ и в него вносили изменения, с которыми ФСТЭК столкнулась на практике.


Еще один документ, о котором говорили на конференции ФСТЭК, долгожданная методика моделирования угроз. Его все еще правят :-( Одно из ключевых отличий от проекта прошлого года - исключение из него АСУТПшной тематики - для нее будет готовиться отдельная методика моделирования угроз. В остальном документ уже находится на финальной стадии и до конца первого квартала должен быть выложен на сайт ФСТЭК. На вопрос из зала, что делать госорганам сейчас (в 17-м приказе же упоминается моделирование угроз), Виталий Сергеевич ответил, что пользоваться пока методичками 2008-го года по персданным.


В очередной раз из зала прозвучал вопрос о том, что же считать ГИСом. Тут Виталий Лютиков переложил ответственность на Минкомсвязь, который до сих не может разродиться четкими критериями или дать четкое разъяснение. ФСТЭК же не уполномочена трактовать этот термин, хотя неофициально они (да и не только они) считают, что любые системы, созданные на бюджетные средства, являются государственными и на них в полной мере распространяется 17-й приказ.

В 2016-м году будут менять СТР-К. Про этот момент сказано на конференции ФСТЭК было совсем мало и я не до конца понял, что будут менять и, зачем. Если только в части защиты технических каналов, то не вопрос - все логично. Но если новый СТР-К будет шире, чем просто технические каналы, то вопросов его соотнесения с 17-м приказом будет немало.

В следующих заметках я рассмотрю новости моделирования угроз и сертификации средств защиты.

Впечатления от конференции ФСТЭК

В четверг, 12-го февраля прошла долгожданная 5-я ежегодная конференция ФСТЭК "Актуальные вопросы защиты информации", на которой был не только анонсирован ряд новых, основополагающих документов по защите информации, но и специалисты регулятора поделились опытом по отдельным сферам своего регулирования. Выступая уже на второй конференции, могу сказать, что по сути эта конференция превращается в аналог Магнитогорского форума (а он, кстати, начинается сегодня), но применительно к сфере регулирования государственного сектора. Если Уральский форум задает тон на весь год в части планов ЦБ для своих подопечных, то конференция ФСТЭК показывает, что будет делаться в части защиты информации у госорганов.

Я буду описывать отдельные темы, озвученные на конференции, в самостоятельных заметках, а сейчас общие впечатления. Сразу надо сказать, что Гротек, как организатор форума "Технологии безопасности", в рамках которого и проходила конференция ФСТЭК, учел прошлогоднюю критику. Зал был увеличен в разы и под него выделили закрытое помещение, чтобы не мешала внешняя акустика. И хотя в зал вмещается 300 человек, все равно всех он не вместил - на первых докладах народ стоял "в коридорах" :-) Только ближе к концу стали появляться свободные места.

Так как зал был продолговатый, то организаторы установили два экрана в разных концах зала - это было удобно. Кстати, предвидя большое количество вопросов, организаторы из Гротека предусмотрели и микрофоны, с которыми девочки из группы поддержки бегали по залу и передавали всем желающим. В прошлый раз приходилось кричать с места, так как выбраться с него было затруднительно. Также, как спикер, хочу отметить, что и табличка оставшегося для доклада времени тоже была.

Зал конференции (фото Андрея Прозорова)
Еще один плюс организаторам -  презентации выложили на следующий день - это офигенная оперативность. Но скачать их не так просто - кто ни разу не регистрировался на мероприятия Гротека (InfoSecurity, "Технологии безопасности" и др.), для того это составило проблему. Кто не смог разобраться в инструкции по скачиванию, может сделать это у Андрея Прозорова.

Теперь перейду к впечатлениям от контента. Он был прекрасен. Могу сказать, что даже несмотря на то, что у меня был бессонный ночной перелет (я специально менял билеты, чтобы выступить на конференции), отсутствие нормального завтрака и полное отсутствие перерывов, мероприятие прошло на одном дыхании.

Основной удар на себя принял начальник второго управления Лютиков Виталий Сергеевич. Она задал тон конференции своим первым докладом, и он же взял на себя ответственность в части ответов на вопросы всем выступающим от ФСТЭК. А в этом году от них было уже не 3 докладчика, а 5 (если считать представителя ГНИИИ ПТЗИ), - включая и прекрасную даму - Елену Торбенко, рассказывающую про опыт рассмотрения моделей угроз, присланных в ФСТЭК на согласование :-) С одной стороны это показывает, что пока серьезный опыт выступлений на публике есть только у него, а с другой уже то, что он вытащил на сцену и других своих коллег - это хороший сигнал.

Очень интересным получилось незапланированное слияние оффлайн и онлайн общения, когда дискуссия в Twitter по отдельным выступлениям, комментировалась Лютиковым В.С. :-) Например, на твит про неумение пользоваться шрифтами в презентациях, Лютиков ответил, что возьмут на заметку :-) Также он поправлял слушателей, которые не всегда верно повторяли в Твиттере отдельные высказывания или просто писали неверно (про модель угроз, например, или про наказание за несоблюдение требований 31-го приказа). Полезный опыт, хотя я с трудом себе представляю, кто еще из регуляторов мог бы делать тоже самое; разве что Артем Сычев из ГУБЗИ.

Забавно, что часть народа свалила после первых двух докладов про планы ФСТЭК. Странно. Такое впечатление, что народ просто хотел про "бумажки" послушать. Однако несмотря ни на что, до конца остались многое - все-таки самое "вкусное" было оставлено именно на конец - доклад про базу уязвимостей и угроз, которую разработала ФСТЭК. Это вам уже не просто документы, а реальная онлайн-площадка. Причем сайт базы, работающей пока в тестовом режиме, выглядит гораздо симпатичнее текущего сайта ФСТЭК :-) Но про базу я напишу отдельно.

Наверное, это все, что я хотел рассказать про свои общие впечатления от мероприятия ФСТЭК. Впереди нас ждет "мероприятие ЦБ" в Магнитогорске. Хотелось бы, чтобы и ФСБ проводила что-нибудь аналогичное; именно с практической точки зрения. 8-й центр совсем чуть-чуть говорит на РусКрипто, чуть больше на CTCrypt, но все это либо носит теоретический характер, либо представляет собой одностороннее выступление регулятора без особого желания отвечать на вопросы. Но пока это скорее мечты - 8-й центр не готов на контакт с отраслью. Возможно потому, что работает не для нее, а для государства, у которого свои интересы, отличные от отраслевых.

13.02.15

А что если завтра нас отключат от CVE?

Две бессонные ночи и 3 перелета в 3 разных государства за 3 дня не способствуют подробному рассказу о той феерии, которая была сегодня на конференции ФСТЭК в рамках форума "Технологии безопасности". Напишу про нее отдельную заметку на следующей неделе и даже не одну. А пока выложу свою презентацию по созданию системы Threat Intelligence, которую я читал на конференции.



ЗЫ. Но хочу отметить, что мероприятие прошло на высоком уровне. Несмотря на отсутствие перерывов и обедов, несмотря на то, что у меня было две бессонные ночи и я прилетел в Москву за 3 часа до начала конференции и еще успел сделать презентацию, мероприятие пролетело на одном дыхании - с 11-ти утра до 5-ти вечера. Если уральский форум в Магнитогорске задает вектор развития банковской ИБ на год, то конференция ФСТЭК задает вектор развития для госорганов в этой сфере. Еще бы 8-ка делала что-то аналогичное и тогда был бы полный комплект.

11.02.15

HP покупает Voltage Security

Компания HP подписала соглашение о приобретении Voltage Security, занимающейся вопросами криптографией и вопросами токенизации. Детали сделки не разглашаются.

06.02.15

Каким мне видится автоматизированный календарь безопасника?

В жизни каждого безопасника немалое время занимает работа, связанная с временем. Но не в контексте его траты, а в контексте привязки к тому или иному временному моменту - экзамен на получение сертификата CISSP, прохождение аудита на соответствие СТО БР ИББС, встреча с руководством по поводу выделения бюджета, поучаствовать в вебинаре Алексея Лукацкого... Т.е. тайм-менеджмет и правильное использование личного календаря - это то, что составляет львиную долю рабочего времени безопасника.

Но помимо личного календаря, есть ряд задач, которые регулярно возникают в деятельности безопасника, но которые сложно вести самостоятельно. Речь идет о "глобальных" событиях, которые могут быть интересны широкому кругу пользователей. Впервые у меня эта идея возникла, когда я сделал первую версию календаря российских мероприятий по ИБ. Меня тогда многие просили перенести его в Google Calendar для удобства отслеживания наступающих мероприятий. Я тогда попытался это сделать, но не склалось. Встроенных базовых возможностей в календаре Google мне не хватило, а тратить время на создание собственного сервиса я не захотел (хотя такие попытки есть). Но идея продолжала жить...

Недавно у меня родилась очередная идея по развитию календарного сервиса для безопасника, связанная с автоматизацией работы с реестрами сертификатов ФСТЭК и ФСБ. Ведь очень часто мы забываем, что сертификаты имеют срок действия и вполне может статься, что мы используем решение с уже просроченным сертификатом. Хотелось бы иметь возможность откуда-то получать уведомления о том, что скоро (срок, за который надо сообщать, тоже хотелось бы настраивать) придет время задуматься об обновлении сертификата.

Если посмотреть чуть дальше, то такой календарный сервис мог бы отслеживать и уведомлять о сроке вступления в действие (или прекращения их действия) нормативных актов ФСТЭК, ФСБ, ЦБ, Роскомнадзора и т.п. Да и уведомление о сроках проведения проверок со стороны наших регуляторов тоже не будет лишним. Одно дело проверить свое попадание в список в начале года и совсем другое - держать в голове дату начала проверки в течение года.

Резюмируя, хотелось бы видеть календарный сервис со следующими возможностями:
  1. Централизованное и регулярно обновляемое ведение списка мероприятий, сертификатов, проверок регуляторов. Это как минимум. Но список типов событий может быть и расширен.
  2. Уведомление о дате наступления выбранного события.
  3. Возможность формирования собственного списка интересующих событий (после регистрации в сервисе) с указанием собственных временных интервалов, через которые необходимо отправлять уведомление.
  4.  Фильтрация в зависимости от типа события. Например, для мероприятий можно было бы фильтровать по следующим критериям:
    • Город/страна
    • Тип (онлайн/оффлайн)
    • Организатор
    • Вендорский/невендорский
    • Аудитория (гики/админы, CISO и т.п.)
    • Спикеры
    • Направленность (PKI, Web, все обо всем и т.п.)
Вот как-то так :-) Пока приходится все это в ручном режиме отслеживать, что не всегда удобно. А вот если бы BIS-Expert или SecurityLab или "Информационная безопасность банков" запустили у себя такое, то цены бы им не было. Да и показатели ежедневной аудитории  подняли бы...

ЗЫ. Из известных мне сервисов, которые можно было бы "докрутить":

05.02.15

Сбор ПДн и их хранение - в чем разница в контексте 242-ФЗ?

Продолжаю выкладывать фрагменты письма Роскомнадзора касательно ФЗ-242. Тем более, что сейчас как-то активизировалась эта тема именно среди иностранных компаний. Мероприятие в Ассоциации Европейского Бизнеса (АЕБ), в Бейкер-Маккензи, в Франко-Российского Торгово-промышленной палате, в The Moscow Times... Сегодня вот представители иностранных компаний собираются в РКН, чтобы обсудить эту тему. Я не думаю, что сейчас представители регулятора смогут сказать что-то новое. Все, что они хотели - зафиксировано в письме. Вот после 12-го февраля (если введут очередные санкции) политическая ситуация может поменяться и РКН получит новую вводную и ответ может быть другим :-( Но пока мы исходим из текущей ситуации. А она такова:


В этом фрагменте важно два момента. Первый - термин "сбор", вокруг которого крутятся все комментарии экспертов. Роскомнадзор почему-то распространяет нормы ФЗ-242 и обработку "после сбора", в то время как часть 5 статьи 18 ФЗ-152 говорит только про сам сбор ("при сборе") и ничего более. Второй момент касается определения термина "база данных", которое мы уже рассмотрели и которое отделено от термина "техническое средство" и "информационные технологии". Вспомним схему, которую я рисовал в июле.


Если взглянуть на нее внимательно и на разъяснение РКН, то мы поймем, что все элементы ИСПДн, исключая базу данных, могут находиться где угодно. И только БД - на территории России. Технически это сделать возможно - вопрос только в целесообразности таких затрат. Хранить ПДн, полученные при их сборе, одновременно и в России и за ее пределами нельзя - это будет нарушением ФЗ-242.


А вот с частью ответа РКН, который почему-то расширил действие ФЗ-242 не только сбором ПДн, я не согласен. На мой взгляд, я имею полное право, собранные и сохраненные данные, передавать дальше куда угодно (при соблюдении требований 12-й статьи ФЗ-152) и хранить где угодно (операция сбора уже закончилась и у меня вступили в силу другие операции обработки ПДн). И РКН дальше "проговаривается", подтверждая эту мысль:


Финализирует данную часть ответа РКН следующим образом:


И это вновь подтверждает высказанную мной мысль, что собрав ПДн в России и храня их первоначально именно у нас, дальше с данными можно делать все, что угодно и передавать/хранить их где угодно. Однако при этом РКН по-прежнему заявляет, что собранные данные должны тут и оставаться, так как их актуализация может производится только в России.


Мне непонятно, с чего РКН делает такой вывод про актуализацию. Да, обновление и уточнение ПДн могут считаться актуализацией, но опять же только при сборе ПДн. Видимо РКН считает, что ПДн могут попасть в базы данных только одним способом - через сбор. На мой взгляд это не совсем так.

Если же взять за основу точку зрения РКН, за которую они так прочно держатся, то получается ровно то, что я писал ранее - передавать можно, хранить нет. А как можно передавать без хранения? Либо исходить из того, что за пределами РФ хранится не обновляемая самостоятельно база. Иными словами, зеркало. А вот первичный ввод и уточнение осуществляются на территории РФ и дальше уже передаются данные, повисающие мертвым грузом за пределами РФ. Возможно. Тогда понятно, почему РКН не способен ответить на вопрос о "зеркалах".


Резюмируя, можно сказать, что регулятор пока стоит на своем и, несмотря на требования закона, трактует их однобоко и очень жестко. Можно конечно говорить, что закон выше позиции регулятора, который к тому же еще и не имеет права трактовать законодательство, но применять его будет именно РКН и не учитывать их позицию было бы неправильно. 

04.02.15

"Гражданство" персональных данных и позиция РКН

Продолжаю публиковать выдержки из последнего письма Роскомнадзора касательно применимости ФЗ-242 к отдельным видам обработки ПДн российских граждан. В этом раз возьмем последний кусок этого письма, посвященный вопросу определения "гражданства" персональных данных. Как и предполагалось, РКН ответил, что это проблема не закона, а оператора ПДн.


ЗЫ. Текст ответа РКН целиком выложу, видимо, в пятницу.

Чего я жду от магнитогорского форума #ibbank?

16-го февраля, всего через 2 недели, начнется очередное знаковое событие в банковской ИБ - Уральский форум "Информационная безопасность банков". Я туда езжу уже много лет и это одно из четырех региональных событий общероссийского масштаба, которые мне нравится посещать (еще IT & Security Forum, "Код безопасности" и ИнфоБЕРЕГ, если последний вернется из Крыма в Сочи :-) Еду я и в этот раз; причем от текущего мероприятия у меня особые ожидания.

И дело тут не только в том, что в Магнитогорске в этом время нормальная зима. Скрипучий снег, морозец, солнце, свежий воздух... В Москвы мы этого всего лишены большую часть зимних месяцев и поэтому хоть ненадолго прильнуть к лону природы дорогого стоит.

И дело не в том, что в Магнитогорске удается встретиться и нормально пообщаться с друзьями и коллегами, которых в Москве, с нашим ритмом, трудно вытащить на встречу. А на Урале для этого все условия - деревянные бани с морозными купальнями на улице, соленые груздочки в сметане, пельмешки, травяной чай с медом и другие напитки, которые так хорошо идут под гитару или караоке в 3 часа ночи. Есть и иные, более рабочие мотивы.

В первую очередь, это мероприятие задает тон на ближайший год в части ИБ банковской сферы. Именно на нем озвучиваются различные инициативы, которые затем, в течение года претворяются в жизнь. В частности в этот раз я жду ответа на следующие вопросы:
  1. Противостояние ГУБиЗИ и ДНПС. После того, как в ЦБ произошла очередная реорганизация и ДНПС покинули ключевые сотрудники, занимавшиеся ИБ, в ДНПС не осталось никого, кто обладал бы политическим влиянием продвигать какие-то изменения в области информационной безопасности Национальной платежной системы. И методологическая основа оттуда тоже исчезла. В итоге ДНПС сейчас собирает сейчас 202-ю и 203-ю формы отчетности, но никакой публичной аналитики по ним нет уже полтора года. Последний отчет об инцидентах был за первое полугодие 2013-го года. Возникает закономерный вопрос - зачем нужен ДНПС, если за ИБ в кредитных организациях он отвечает лишь формально? Не вернуть ли эту тему обратно в ГУБЗИ, в единые руки, которые писали и СТО БР ИББС и первую редакцию 382-П? Тогда развитие нормативной базы ЦБ в области ИБ станет более понятным и предсказуемым. Да и к мнению отрасли станут больше прислушиваться - в последних двух редакциях 382-П мнение экспертов, высказанных на разных рабочих группах почти не было услышано. Есть шанс, что в Магнитогорске может появиться ясность в этом вопросе.
  2. FinCERT. 30-го января "Ведомости" опубликовали статью про FinCERT, которая сразу вызвала споры в узком кругу специалистов. Статья утверждала, что из ряда источников стало известно, что центр реагирования на инциденты безопасности в кредитных организациях будет создан не при ЦБ, как говорилось ранее, включая и прошлогодний Уральский форум, а при ООО НСПК (его представители, кстати, тоже будут на форуме в Магнитогорске); и заниматься, якобы, этот центр будет не всеми инцидентами в кредитных организациях, а только связанными с карточным мошенничеством в НСПК. Со стороны ряда экспертов, приближенных к ЦБ, был высказан тезис, что все не так, как написано в статье. На форуме обещали раскрыть все карты и рассказать, что все-таки будет делать FinCERT? Меня лично интересует два вопроса, с ним связанных. Первый - что станется с 203-й и 258-й формами отчетности? Куда они будут направляться после запуска FinCERT'а - по-прежнему в ДНПС (и там они пропадают, как в бездне) или в FinCERT? А второй вопрос связан со сферой деятельности FinCERT - ограничится ли он только аналитической и методологической составляющей (что врядли, учитывая, что очень активную роль в процессе создания играет Совет Безопасности и ФСБ) или будет заниматься расследованием инцидентов? Но тогда встает вопрос о внесении изменений в законодательстве об ОРД. На форуме должны дать ответ и на эти вопросы.
  3. ИБ в НСПК. С НСПК связана и другая тема. С 1-го апреля она должна быть запущена в промышленную эксплуатацию. НСПК, как платежная система, является частью НПС и обязана соблюдать ее правила. В том числе правила и по информационной безопасности, описанные в 382-П. Но там про безопасность карточек нет ни слова (кроме поправок в новую редакцию 382-П, вступающие силу с 16-го марта, о том, что надо переходить на чиповые карты). Как выполнять требования по ИБ применительно к картам, выданным НСПК? Тему "легализации" PCI DSS прикрыли; да и в текущей геополитической ситуации ее врядли кто поднимет на древко (тут самому бы на это древко не быть поднятым). Тоже тема с множеством вопросов, на которые хотелось бы получить ответы; особенно учитывая, присутствие на форуме всех ключевых игроков.
  4. ФЗ-242 и перевод денежных средств. Учитывая присутствие на форуме представителей РКН, я предвижу, что им может быть задан вопрос о том, как осуществлять денежные переводы из России (в которых фигурируют ПДн плательщика - гражданина РФ) в другие государства; особенно в рамках заработавшего с 1-го января ЕАЭС? Запрещает ФЗ-242 хранить ПДн российских плательщиков в АБС иностранных банков-получателей или нет? Кто-то говорит, что нет. Кто-то, что да. А хотелось бы иметь четкий ответ. Может быть такой запрос уже сделал ЦБ в сторону РКН?.. 
Я назвал четыре темы, которые вызывают мой искренний интерес, и которые должны быть освещены в рамках форума (может быть и непублично - не зря многие вопросы на форуме обсуждаются кулуарно). Но это не все, что представляет интерес.

Лютиков Виталий Сергеевич будет говорить о подходах к безопасности ПО, что, учитывая подготовку нормативки по данной теме, говорит о том, что нас ждет скоро новая тема, курируемая ФСТЭК - SDLC и все с ней связанное. Судя по тому, что на конференции ФСТЭК "Актуальные вопросы защиты информации" этой теме должного внимания не уделено, то на Урале будет премьера. Будут выступления про проверки со стороны ЦБ и ИБ в некредитных организациях. МВД расскажет про противодействие мошенничеству, а 8-ка про использование отечественных HSM при создании НСПК. Кстати, со стороны органов власти будет очень представительная делегация - ЦБ (все ключевые департаменты), ФСБ, ФСТЭК, РКН, Совет Федерации, заместитель губернатора Челябинской области (Руслан Гаттаров).

Еще мне интересен формат, который был опробован в прошлом году - вечерние посиделки "на тему". В прошлом году очень удачно подискутировали "под пиво" про FinCERT. В этом году было решено поговорить на животрепещущую тему санкций. И дело тут не только в части поставок ИБ/ИТ-решений в банки, но и в части осуществления деятельности по переводу денежных средств. Например, "Золотая корона" не осуществляет с 20-го ноября платежей в Крым и Севастополь. Почему? Российская платежная система и не переводит в регион РФ... Странно. Тема для обсуждения.

Будет несколько круглых столов; интересных мне два. Один ведет Наташа Касперская - про авторитет ИБ в условиях кризиса. Второй - про ожидания банков от ИБ-вендоров и интеграторов. Думаю будет много неудобных вопросов про повышение цен на отечественные продукты, непрозрачность ценообразования, нежелание кредитования и т.п. Будут и специальные воркшопы от вендоров - полуторачасовые демонстрации продуктов и решений с вопросами и ответами (этого в прошлом году не было).

Впервые будет закрытая секция, на которую будут допущены только банки, которые смогут пообщаться с ЦБ, ФСБ и МВД. Что там будет - можно предположить, но доподлинно неизвестно. В контексте создания FinCERT секция будет более чем интересная.

А на закуску - день практической безопасности. Последний день форума. Будет 3 мастер-класса - от Касперского, Positive Technologies и CTI... 2 выступления от "банкиров" - Фарит Музипов поделится опытом прохождения различных международных ИБшных сертификаций, а Андрей Коротков расскажет о том, как он "переметнулся" из ИБ в ИТ и как у него поменялось мировозрение :-)

И, наконец, в этом году родилась идея попробовать провести киберучения по информационной безопасности. Это не будет аналогом CTF, направленного на технических специалистов. Хочется попробовать провернуть что-то для руководителей ИБ, которые в режиме мозгового штурма (пока детали раскрывать не буду) попробуют отражать атаки на несуществующий, но похожий на реальный банк, а жюри и аудитория в зале будет оценивать действия нападающей и защищающейся сторон.

Также из новинок хотел бы отметить:

  • Бесплатное обучение по вопросам безопасности от ряда ведущих учебных центров России (очень удачно можно совместить командировку с обучением, что в условиях урезания бюджетов будет очень и очень актуально).
  • Мобильное приложение "Уральский форум", которое содержит программу конференции с возможностью составить собственное расписание, список участников (теперь можно не тупить "а ты кто такой", а глянуть в приложение) и спикеров, партнеров и организаторов. Для тех кто любит ночами блудить между катком, караоке, банями, бильярдом и баром, в приложении будет карта места проведения конференции с указанием всех злачных мест :-) Ну и самое интересное - голосование. В прошлом году мы голосовали карточками (как судьи на футбольном поле) - в этот раз инновации достигли Урала и свою оценку можно будет поставить любому спикеру. При этом он вас не видит и вы можете разгуляться по полной :-) 

  • Книжная ярмарка с новинками ИБ-литературы. Кстати, на форуме будет представлена книжка Артема Сычева и Сергея Вихорева "Диалоги о безопасности информации". Кто хочет получить книгу с автографами авторов? :-)


    Насыщенная программа, интересные темы... Присоединяйтесь :-)



    ЗЫ. Мне тут дали понять, что мой репортаж в прямом эфире с конференции - не самая лучшая идея, которая приводит к потере на склоне или в баре части аудитории, следящей за происходящем в зале по моим твитам. Так что в этом году прямого репортажа может и не состояться :-(