06.07.15

Постатейный комментарий сотрудников РКН к ФЗ-152

Недавно "Российская газета" выпустила сборник постатейных комментариев к федеральному закону "О персональных данных". Стоит недорого - 265 рублей в бумажном варианте и 100 рублей в электронном. Среди авторов - сотрудники центрального аппарата РКН, а сам сборник издан под редакцией заместителя руководителя РКН, г-жи Приезжевой, которая курирует в РКН направление персданных.

На сайте РКН сказано, что идея такого комментария возникла в 2014-м году, видимо после того, как г-жа Приезжева была назначена заместителем руководителя РКН. На самом деле это не совсем соответствует действительности. Впервые идея такого постатейного комментария возникла у предшественника г-жи Приезжевой - Шередина Романа Валерьевича. Осенью 2012-го года мы встречались с ним для обсуждения тему постоянной критики РКН и решили, что надо сделать что-то полезное, например, постатейный комментарий к ФЗ-152. Тогда была сформирована рабочая группа из Алексея Волкова, Михаила Емельянникова, Александра Токаренко и меня. Мы решили писать такой комментарий не с самого начала, а с наиболее интересных и спорных вопросов. Сначала была выбрана тема кадрового делопроизводства, а затем биометрических персональных данных. Оба комментария были размещены на сайте РКН (разъяснение по биометрии и разъяснение по кадрам). Третьей выбранной нами темой должно было стать согласие субъекта на обработку ПДн в Интернете, но не сложилось - в РКН пришло новое руководство. Я предлагал ему продолжить работу над комментарием, но в наших услугах больше не нуждались :-(

И вот новое руководство выпускает свой комментарий. Выпускает за деньги. Коллеги задаются вопросом, может ли государственный орган, уполномоченный в области защиты прав субъектов персональных данных и заявляющий о своей методической помощи операторам ПДн, продавать за деньги то, что он должен делать бесплатно? Вопрос этики, не более. Формально, книга выпущена не Роскомнадзором, а "Российской газетой". Является ли данный комментарий официальным? Тоже нет. Роскомнадзор уже не раз говорил о том, что он не обладает правом трактовать законодательство.

Кстати, это не первый постатейный комментарий к ФЗ-152. Вот, например, еще один. Или вот. И вот. Ну и еще. И снова.

Отвечает ли данный комментарий на вопросы операторов ПДн? Увы, нет. Скорее он создает кучу новых. Причем с самого начала материала. Например, мнение о том, что архив может быть только бумажным, а понятие "электронный архив" не существует. Отсюда сотрудники РКН делают вывод, что на электронные архивы ФЗ-152 распространяется в полном объеме; в отличие от архива бумажного. При этом дальше, правовые документы по архивному хранению в бумажной форме вполне активно используются при определении терминов "хранение" и "передача".

Достаточно активно авторы приводят примеры судебных решений по тому или иному вопросу обработки ПДн. У меня сложилось впечатление, что ссылаются они только на те решения суда, которые им "выгодны" и "доказывают" их позицию. При этом "неудобные" решения судов не упоминаются. Например, при рассмотрении вопроса автоматизированной обработки делается вывод, что любая обработка ПДн на средствах вычислительной техники является автоматизированной. При этом я видел решение суда, принятое уже после 2011-го года, в котором суд как раз принял решение, что обработка ПДн на средствах вычислительной техники еще не означает ее автоматизированной обработки.

Или вот пример, который у меня также вызвал вопросы. Согласно рассматриваемому комментарию банки вправе передавать ПДн коллекторам. Основанием для этого, по мнению авторов комментария, является статья 382 ГК РФ. Однако это правило действует только в случае договора цессии, а вот в случае передачи коллектору ПДн по агентскому договору, согласие требуется.

Местами в комментарии очень вольно используются правила русского языка. Например, при рассмотрении 9-й статьи о согласии субъекта на обработку ПДн правильно указывается, что согласие может дать либо сам субъект, либо его представитель. А вот рассматривая часть про отзыв согласия, авторы считают, что отзыв может дать только субъект ПДн, а его представитель такого права лишен. И якобы это вытекает из буквального прочтения норм законодательства. У меня лично такого вывода при прочтении 9-й статьи не возникло.

Но местами есть и интересные и даже полезные разъяснения. Например, позиция по поводу обработки сведений о судимости. Если раньше РКН считал, что указание в анкетах (например, заемщика) поля "судимость" запрещено, то сейчас у них позиция более лояльная - сведениями о судимости считается только привязка к решению суда, номер и наименование статьи и т.п.

Кстати, смена ранее озвученной позиции, - еще один присущий данному комментарию факт. Например, в части биометрии. Авторы решили отменить ранее данный комментарий РКН в отношении того, что такое биометрические ПДн. Забавно, что среди авторов и прошлого комментария и нынешнего - одни и те же люди. То ли за 2 года позиция РКН сменилась, то ли новое руководство вычищает следы от старого.

Пора подытоживать. Отношение мое к этому комментарию двойственное. С одной стороны многие комментарии вступают в противоречие с ранее уже данными и местами сложившейся практикой обработки персданных. С другой - можно предположить, что после выхода комментария под редакций замглавы регулятора, терорганы будут руководствоваться им при проверках, а значит наступит долгожданное единство позиции. Главное, чтобы и у судов оно было таким же единогласным.


03.07.15

ИТ-Диалог: электронная личность чиновника - мониторинг и защита

Третьим запомнившимся практичным выступлением на ИТ-Диалоге для меня стал доклад Дмитрия Едомского - заместителя директора по безопасности ГАУ Республики Коми "Центр информационных технологий", который рассказывал о таком понятии, как электронная личность чиновника и о том, какие "следы" оставляет чиновник в Интернете - в соцсетях, блогах, Твиттере, в публикациях, на почтовых серверах, в Интернет-магазинах и иных торговых площадках и даже на игровых серверах.


Видя регулярные сливы Шалтай-Болтая о наших чиновниках, взломы их электронной почты, понимаешь, что вопросы обеспечения безопасности электронной личности важны как никогда. Наверное, поэтому во многих ведомствах запрещено чиновникам иметь учетные записи в социальных сетях, а ФСБ регулярно рассылает письма с предупреждениями о рисках использования публичных, особенно, иностранных почтовых сервисов (хотя ломают преимущественно отечественные). Но чиновники считают, что если они зарегистрируются в социальной сети под псевдонимом, то это снимет все проблемы. Не снимет!


Дмитрий Едомский привел несколько примеров угроз электронной личности. Тут и ситуации, когда чиновники, якобы уехавшие в командировку, публикуют фотографии из Доминиканы. И публикации членами семьи чиновника своих роскошных подарков, машин и собственности. И обвинения чиновников в плагиате их публикаций в Интернет. И многое другое.


После рассмотрения интересных сценариев, Дмитрий перешел к вопросам информационной безопасности электронной личности чиновника.


Самое интересное, что данный вопрос информационной безопасности государственных мужей никак не отражен в нормативной базе. Ведь электронная личность чиновника не относится ни к защищаемой информации, ни к государственным информационным системам. Отделы защиты информации этому вопросу внимания почти не уделяют. А ведь именно через него можно заручиться поддержкой руководства своего госоргана или муниципалитета и показать роль ИБ в понятных терминах и проблемах. Именно этот вариант повышения осведомленности, не требуя денежных средств (достаточно регулярных рассылок и пары тренингов), позволит вовлечь руководство в процесс ИБ и позволит получить безопаснику внимание к себе и своим задачам.


На этом я завершу свой рассказ про прошедшей на прошлой неделе ИТ-Диалог, который в этот раз стал еще более практическим, чем в прошлом. Интересные доклады, интересные темы, интересные выступающие. Совершенно не зря потраченное время. Спасибо организаторам в лице комитета по информатизации Санкт-Петербурга и журнала "ИТ-Менеджер" за отличное мероприятие.

02.07.15

ИТ-Диалог: как сделать систему электронного документооборота защищенной и удобной для чиновника

Еще один доклад на ИТ-Диалоге был от Кирилла Бермана, заместителя министра ИТ и связи Хабаровского края. Еще один примечательный доклад, в котором Кирилл делился опытом, как при следующих исходных данных:

  • свыше 10 тысяч пользователей
  • наличие VIP-пользователей (губернатор и т.п.)
  • свыше 300 различных организаций и ведомств, находящихся вне прямого подчинения
  • неоднородные и исторически сложившиеся системы защиты, особенно криптографической
  • требования регуляторов
  • мобильные устройства,
обеспечить эффективную и при этом удобную для пользователей систему защиты при доступе к системе электронного документооборота (СЭД) Хабаровского края. Из наиболее интересных моментов, которые мне запомнились в выступлении, могу отметить дифференцированный доступ как к открытой, так и к закрытой части СЭД, с использованием Web-интерфейса или отдельного приложения.


При этом, независимо от того, какая СКЗИ установлена у подключающихся абонентов СЭД, осуществляется выбор нужного VPN-шлюза. Тем самым, абонентам не требуется перестраивать свою систему подключения и приобретать VPN, которая стоит на периметре ЦОДа СЭД Хабаровского края - именно администрация берет на себя функцию приобретения шлюза, к которому и подключаются абоненты. Налицо и экономия бюджетных средств и удобство при подключении.


Так как многие чиновники получают доступ к СЭД с мобильных устройств, то достаточно остро стоит задача их защиты. Решается она двумя путями - установкой MDM и заворачиванием всего трафика на ведомственный периметр, где и осуществляется проверка с помощью эшелонированной системы защиты - контентная фильтрация, антивирус, IPS и т.п.

Помимо рассказа о построение удобной и защищенной СЭД, Кирилл Берман рассказал и о нескольких других интересных процессах обеспечения ИБ в Хабаровском крае, который, к слову сказать, является 4-м по величине в России. Во-первых, это очень интересный процесс моделирования угроз, который базируется на лучших практиках, в том числе на немецком каталоге угроз BSI (это именно немецкий институт, а не одноименной английский).


Во-вторых, очень интересен опыт проведения киберучений, позволяющих проверить способность ИТ/ИБ-специалистов противостоять угрозам, направленным на нарушение различных аспектов работы информационной системы - конфиденциальности, целостности и доступности. Не могу вспомнить, чтобы кто-нибудь еще из регионов проводил такие учения. Очень интересный опыт, который позволяет уйти от чисто бумажной безопасности в сторону реальной.


Кстати, даже с бумажной безопасностью в Хабаровском крае обстоит дело более чем интересно. Они одними из первых стали реализовывать 17-й приказ ФСТЭК, уйдя от обязательного набора защитных мер и выстраивая защитную систему из мер, нейтрализующих именно актуальные угрозы и учитывающих структурно-функциональные характеристики своих информационных систем. По словам Кирилла Бермана не все подрядчики оказались готовы к такому подходу, по старинке исходя из закрытого и неуменьшаемого перечня защитных мер в СТР-К. Но наличие тесного взаимодействия с местными управлениями ФСТЭК и ФСБ позволили доказать возможность такого подхода (в т.ч. и применение компенсирующих мер), что, во многом, и обусловило баланс между удобством и защищенностью пользования СЭД.

Последним запомнившимся мне моментом в выступлении оказался слайд с количеством обученных по вопросам ИБ сотрудников в государственных структурах Хабаровского края. 20-тикратный рост за 3 года! Есть чему поучиться во всех смыслах.


01.07.15

ИТ-Диалог: опыт автоматизации рутинных задач безопасника в Санкт-Петербурге

Продолжаю рассказ про секцию "Россия защищенная" на ИТ-Диалоге. Теперь расскажу о докладах представителей трех регионов - Санкт-Петербурга, Республики Коми и Хабаровского края. Хотя, скорее, это были не доклады, а обмен опытом. Каждое из выступление мне запомнилось особо. Например, выступление Андрея Лихолетова из комитета по информатизации Санкт-Петербурга, который рассказывал об их опыте автоматизации рутинных задач безопасника.

Понятно, что эффективной работе служб и специалистов ИБ, особенно в крупных организациях, мешает большое количество рутинных и неавтоматизированных задач, среди которых Андрей Лихолетов выделил 5 ключевых:
  • Сбор и анализ данных, о текущем состоянии защиты информации, поиск и анализ закономерностей, подготовка стандартных отчетов
Пример одной из множества анкет/опросника по ИБ
  • Отслеживание контрольных сроков событий, исполнения поручений
  • Повышение уровня осведомленности уполномоченных лиц
  • Централизованное хранение и актуализация документов в области защиты информации
  • Аудит.
При нехватке времени и людей и большом количестве рутинных задач, без их автоматизации не обойтись. Именно про опыт питерского комитета по информатизации и был интересный доклад. Не найдя на рынке удовлетворяющего требованиям продукта, в отделе защиты информации комитета было принято решение о заказной разработке данного решения, что и было сделано. В частности, для решения первой задачи разработанная система (а она решает все пять озвученных рутинных задачи) позволяет:
  • формировать отчетность (плановую и внеплановую)
  • формировать показатели, характеризующие уровень соответствия принимаемых в организации мерах по обеспечению безопасности информации принятым требованиям по защите информации
  • анализ динамики изменения показателей
  • «вечное» хранение исходных данных.
Второй важной задачей является контроль сроков. В феврале я уже писал про то, каким я вижу автоматизированный календарь безопасника. А в Питере он уже создан. В частности он позволяет отслеживать:
  • сроки окончания лицензий организаций
  • сроки действия сертификатов на СрЗИ
  • сроки действия аттестатов соответствия;
  • сроки повышения квалификации безопасников
  • сроки контрольных мероприятий (аудита)
  • сроки исполнения поручений
  • другие контрольные точки, например, по объектам, имеющим "срок годности, в частности по поручения.  
Отдельно решается задача хранения разных версий разных нормативных и правовых документов. Эта же подсистема позволяет хранить и конструкторскую/эксплуатационную документацию ко всем информационным системам Санкт-Петербурга, а также проводить контроль знаний по законодательству в области ИБ.


За счет визуализации и контроля состояния всех объектов защиты Санкт-Петербурга удается также 
  • Информировать уполномоченных лиц об угрозах безопасности информации
  • Информировать уполномоченных лиц о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации
  • Своевременно информировать лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе.


Задача аудита также автоматизирована, вплоть до подготовки отчетных документов и автоматической постановки задач ответственным об устранении выявленных нарушений.


Если все автоматизировать, что же тогда остается безопасникам? Не стоит ли их сократить? Нет! Как справедливо было замечено, безопасник часто погружается в рутину и у него не остается времени и сил на решение реальных задач, ради которых он и приходил на работу. В частности остаются нерешенными и заброшенными "творческие" задачи, которые откладываются на потом:

  • моделирование угроз, анализ уязвимостей и рисков,
  • оценка эффективности систем защиты информации,
  • обеспечение непрерывности работы СЗИ,
  • анализ инцидентов ИБ,
  • обеспечение ИБ при взаимодействии с третьими сторонами,
  • планирование и развитие СЗИ и т.д.

На меня доклад Андрея Лихолетова произвел впечатление, если честно. Это действительно круто - взять и заказать разработку для автоматизации собственных рутинных задач, чтобы можно было сконцентрироваться на главном. И ведь в госорганах таких рутинных задач, вытекающих часто из существующей нормативной базы, очень много. В Санкт-Петербурге смогли эту проблему решить очень эффективно, на мой взгляд.

ЗЫ. Кстати, именно Андрей Лихолетов привел крылатую фразу про ИБ, которая "как ПВО - и сама не летает, и другим не дает" :-)

30.06.15

ИТ-Диалог: новости ФСТЭК и ФСБ

На прошлой неделе, 25-26 июня в Санкт-Петербурге прошел форум "ИТ-Диалог", где мне довелось уже второй год подряд модерировать (вместе с руководителем ИБ Санкт-петербургского Комитета по информатизации Андреем Лихолетовым) одну из секций - "Россия защищенная". Мероприятие было целиком ориентировано на государственные и муниципальные структуры; поэтому и докладчики в секции были соответствующие:
  • 3 регулятора - ФСТЭК, ФСБ и РКН.
  • 4 представителя госорганов из разных регионов - Санкт-Петербург, Ленинградская область, Республика Коми и Хабаровский край.
  • 3 спонсора, среди которых в том числе и мой работодатель - Cisco.
Свои впечатления я разобью на несколько заметок, так как все доклады были очень интересными и в каждом я почерпнул что-то новое, а местами и полезное. Поэтому в одну заметку я не вмещусь; начну с регуляторов. Кстати, я не буду рассказывать об организации мероприятия - она была вполне на уровне, а уж выбранное место (Константиновский дворец) вообще было вне конкуренции. В президентской резиденции удается бывать не так часто; тем более в таком историческом месте.

Первым выступал представитель питерского ФСТЭК с рассказом о защите АСУ ТП. Был дан обзор и тех объектов, которые есть в Северо-Западном федеральном округе (даже систему управления движением судов есть)


и самого 31-го приказа ФСТЭК. Предваряя классический вопрос, почему 31-й приказ является обязательным и из какого федерального закона вытекает его исполнение, был представлен и такой вот слайд с указанием ключевых ФЗ, которые требуют обеспечения безопасности, в том числе и информационной, и детали реализации которой описаны в 31-м приказе.


Но наиболее интересным, как это часто бывает, была секция вопросов и ответов, которые я сформулирую в виде тезисов:
  • Новые документы ФСТЭК (17, 21, 31 приказы), в отличие от предыдущих, дают свободу выбора для владельцев защищаемых систем. В докладе замминистра ИТ Хабаровского края Кирилла Бермана позже была высказана мысль, что такая свобода - это благо для владельцев государственных систем, но многие лицензиаты к ней пока еще не готовы, так как привыкли работать по СТР-К, по закрытым перечням защитных мер, не подразумевающим никакой свободы выбора.
  • Кстати, об СТР-К. Представителем ФСТЭК была высказана, как он сам сказал, крамольная мысль, что СТР-К является нелегитимным документом, так как он не зарегистрирован в Минюсте. А посему для госорганов и муниципалов единственным документом остается 17-й приказ, что подтверждает и Минкомсвязи применительно к различным типам информационных систем, обрабатываемых в госорганах и муниципальных учреждениях. Вопрос про утечки по техническим каналам не поднимался (кроме СТР-К эта тема больше нигде и не описана в виде требований). Но ввиду принятия в скором времени 5 (!) документов по этой теме думаю, что СТР-К действительно скоро перестанет быть актуальным документом (хотя слухи о его переработке всплывают регулярно).
  • Во время рассказа о банке данных угроз и уязвимостей возник вопрос, как получить доступ к закрытой части банка, в котором публикуется информация о дырах, либо еще не устраненных, либо в специфическом ПО. Ответ был следующий - писать запрос на имя директора ФСТЭК с просьбой предоставить такой доступ. Коммерческим компаниям можно не беспокоиться - доступ только для госов.
  • Применительно к теме надзора за безопасность АСУ ТП и КСИИ была сказано, что ввиду отсутствия пока соответствующего закона о безопасности критической информационной инфраструктуры, проводятся мероприятия систематического наблюдения и проверки, невлекущие за собой наказания (в актах проверки нарушения не пишутся). Однако ФСТЭК собирает информацию для оценки ситуации с защитой АСУ ТП и КСИИ, а также направляет ее в воронежский ГНИИ ПТЗИ для изучения и выработки будущих рекомендаций по защите.
Вторым выступал представитель Управления ФСБ по СЗФО с рассказом о криптографии и ее использовании в госорганах, а также о защите персональных данных. Рассказ был начат с упоминания ПКЗ-2005, как основного документа в области СКЗИ, и обзора основных требований 152-го приказа ФАПСИ, как единственного открытого документа по вопросам эксплуатации СКЗИ. Ничего нового сказано не было; единственное, что упомянули, что пока 152-й приказ менять не планируется. Также был обзор требований 378-го приказа по защите ПДн и краткий рассказ о новой методике моделирования угроз ПДн для госорганов. Из интересных вещей в выступлении и ответах на вопросы представителя ФСБ могу отметить:
  • СКЗИ применяются там, где такие требования вытекают из модели угроз (нарушителя) или технического задания.
  • Изменения в вопросе, что такое оценка соответствия СКЗИ, не появилось. Это только обязательная сертификация в ЦЛСЗ ФСБ.
  • На классический вопрос о том, что делать, когда СКЗИ под нужную задачу нет, последовал не менее классический ответ - создавать СКЗИ с нуля.
  • На вопрос, что считают в ФСБ государственной ИС (ввиду непростой ситуации с трактовками), ответа четкого не было, но было сказано, что при проверках разночтений с госорганами не возникает, а вообще это Минкомсвязь должен дать окончательный ответ на данный вопрос.
  • На вопрос о том, что делать, если все VPN у нас работают на базе BSD или Linux и нарушитель может иметь доступ к среде функционирования, а значит по 378-му приказу надо, чтобы СКЗИ была сертифицирована по классу КА, ответ был простой - подходите творчески к формированию модели нарушителя/угроз. Это предложение от представителей ФСБ звучало уже не раз, так что стоит к нему прислушаться. Тем более, что многие госорганы уже его используют на практике.
  • При анализе методики моделирования угроз ПДн, многие (и я про это писал) обратили внимание на то, что идеология ФСБ следующая. СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно, если не будет доказано, что в канале связи невозможно осуществление несанкционированных воздействий на ПДн. И многие задались вопросом, как и кто это может доказать. Теперь есть ответ на это - доказывать это может лицензиат ФСТЭК (не ФСБ). Именно он определяет уровень защищенности канала связи и его способность обойтись без СКЗИ. Я такие варианты уже описывал - дело осталось за малым - чтобы это подтвердил лицензиат ФСТЭК.


Наконец, представитель УФСБ показал статистику классических нарушений в области применения СКЗИ, выявляемых ими при проверках. В заключение он напомнил всем участникам, что за несоблюдение мер защиты информации, установленных в обязательных документах ФСТЭК (152-й и 378-й приказы ФСБ) существует административная ответственность по части 6 ст.13.12 КоАП. На вопрос о практике применения этой статьи ответ был положительным :-) ФСТЭК, кстати, также подтвердила, что они эту статью используют в отношении тех госорганов и муниципалитетов, которые не выполняют требования 17-го приказа.


Вот такой краткий пересказ выступлений представителей ФСТЭК и ФСБ на "ИТ-Диалоге". Сами выступления были живыми, без зачитываний по бумажке (хотя к ним и обращались как к шпаргалкам). 

В следующей заметке расскажу о второй части выступлений - уже от представителей госорганов, которые делились своим опытом в решении тех или иных проблем. Это была не менее, а скорее даже более интересная часть секции. Но о ней позже.

ЗЫ. Еще из новостей, которые не прозвучали на конференции, но произошли в день ее проведения. Согласно сообщению ТК26 с 1-го января 2016-го года в России вступают в силу новые стандарты криптографической защиты информации - ГОСТ Р 34.12-2015 и Р 34.13-2015.

29.06.15

Презентация по последним законодательным инициативам в области персональных данных

Осталось 2 месяца до вступления в силу последней редакции закона "О персональных данных", включая и поправки, внесенные ФЗ-242. Роскомнадзор проводит последние встречи с операторами ПДн, разъясняя им новые положения законодательства. Решил и я обновить презентацию о том, какие последние новшества законодательства произошли совсем недавно и что нас ждет совсем скоро. По сути, это некоторое переложение моей недавней заметки.



Анализ модели угроз ПДн Банка России

Банк России опубликовал долгожданный проект отраслевой модели угроз безопасности персональным данных. За прошедший с небольшим месяц это уже третий документ в области моделирования угроз ПДн. Сначала появился проект методики моделирования угроз ФСТЭК, затем методика ФСБ и вот уже готовая модель от Банка России.

История этого документа достаточно стара. Его впервые подготовили в 2013-м году, но его согласование застряло в ФСБ России. Потом Крым присоединился к России и ЦБ было уже не до принятия модели угроз - были более важные дела и документы (по этой же причине и FinCERT появился на год позже запланированного). Затем начались геополитические игрища и ЦБ решил пересмотреть свой подход к моделированию угроз ПДн. Если раньше в модели был прописан тезис о неактуальности угроз 1-го и 2-го типа (т.е. недокументированные возможности в системном и прикладном ПО), а в текущей редакции СТО БР ИББС 1.0 эта мысль звучит до сих пор, то в нынешней модели угроз от этого подхода отказались, отдав его на откуп каждому банку, который сам и должен принять решение - опасаться ли закладок в операционных системах, СУБД, банковских приложениях или нет.

В модели зафиксировано всего 10 актуальных угроз ПДн:
  1. НСД лицами, обладающими полномочиями
  2. НСД лицами, необладающими полномочиями, но использующими уязвимости
    • в организации системы защиты
    • в ПО ИСПДн
    • в обеспечении защиты сетевого взаимодействия и каналов передачи данных
    • в обеспечении защиты вычислительных сетей ИСПДн
    • вызванных несоблюдением требований по эксплуатации СКЗИ
  3. Воздействие внешнего по отношению к ИСПДн вредоносного кода
  4. Социальный инжиниринг
  5. НСД к отчуждаемым носителям
  6. Утрата носителей ПДн, включая переносные компьютеры.
Текущий вариант документа сильно изменился по сравнению с проектом 2013-го года. И дело не только в количестве страниц - 4 против 22. В прошлой версии модели очень большое внимание уделялось систематизации типов внешних и внутренних нарушителей, а также способов реализации угроз. К тому же в прошлой редакции вводилось такое понятие как "степень актуальности угрозы" (их было три - высокая, средняя и низкая), что малость вводило в ступор, так как если угроза актуальная, то с ней надо в любом случае бороться и совсем неважно, какой уровень этой актуальности. В нынешнем варианте от этого, к счастью, ушли.

Отличия между проектами моделей угроз ПДн 2013-го и 2015-го годов
Наконец, в прошлом варианте говорилось даже не о перечне актуальных угроз, а скорее о комбинации 4-х элементов - источнике угрозы, категории нарушителя, способе реализации угрозы и оценке актуальности. То, что в текущем проекте называется угрозой, в прежней версии называлось способом реализации угроз. И тогда их было 21, а не 10, как сейчас. Поэтому на выходе комбинированный из 4-х элементов перечень содержал еще больше пунктов - 47.

Фрагмент проекта модели угроз ПДн 2013-го года
Если уж я начал сравнивать, то нельзя не упомянуть и модель угроз из уже отмененной РС 2.4. В ней структура также отличалась и от модели 2013-го года, и от модели 2015-го года. По сути угроз в этой модели было всего 3 - угрозы нарушения классической триады - конфиденциальности, целостности и доступности. Но скомбинированные с типом объекта среды, в которой угрозы реализовывалась, уровнем ИСПДн и источником угрозы, на выходе модель содержала уже 88 пунктов.

Фрагмент модели угроз ПДн из РС 2.4
В целом можно отметить, что текущая модель стала гораздо проще и понятнее. Перечень из 10 угроз, с которыми и надо бороться, опираясь на 382-П, если речь идет ПДн в рамках денежных переводов, и на 21-й приказ ФСТЭК и 378-й приказ ФСБ, если речь идет обо всех остальных случаях. При этом не требуется создавать своих моделей угроз по методикам ФСТЭК или ФСБ - по сути, Банк России это уже сделал за банки. Пожалуй, можно только расширить этот перечень актуальных угроз чем-то своим, что не попало в Указание ЦБ.

Документ согласован с ФСБ и ФСТЭК и, с вероятностью близкой к 100%, изменяться уже не будет. Так что на него можно ориентироваться уже сейчас, не дожидаясь его официального принятия и опубликования в "Вестнике Банка России".

24.06.15

ЦБ опубликовал "статистику" по 203-й и 258-й формам отчетности

Мы ждали, ждали и наконец дождались... Банк России опубликовал обзор по несанкционированным переводам денежных средств в 2014-м году или, иными словами, статистику по 203-й и 258-й формам отчетности. Я не буду пересказывать или копипастить этот отчет - он небольшой, всего 17 страниц. Обращу внимание только на следующие моменты:
  • Отчет красивый :-)
  • Статистики по второму полугодию 2013-го года у нас нет и, видимо, уже не будет. Предыдущая статистика была только за первое полугодие 2013-го года и вот статистика за 2014-й. Не смертельно, но все-таки.
  • Статистика по 4 видам хищений - по платежным картам, по ДБО, по электронным денежных средствам и при взаимодействии банка с платежной системой.
  • Отчетность по инцидентам ДБО не совпадает с предварительной статистикой, озвученной ДНПС на Магнитогорском форуме. Причем если по платежным картам статистика совпадает полностью, то по ДБО расхождения сильные и я не могу понять почему.
Предварительная (слева) и итоговая (справа) отчетность

  • Объем хищений через ДБО и через карты составляет около 3 с половиной миллиардов рублей, что не стыкуется с оценками Group-IB. Последние объем рынка Интернет-преступлений в финансовой сфере оценивают в 615 миллионов долларов, т.е. 30 миллиардов рублей. Шеститикратное расхождение. На самом деле оно больше, т.к. объем преступлений через ДБО, по оценкам Банка России, меньше в два раза, а значит расхождение будет уже на порядок.
  • Не указано, делался ли перерасчет цифр и их нормализация в связи с тем, что в прошлом году был серьезный скачок курса валют и поскольку отчетность за 4-й квартал присылали в ЦБ еще в январе, то не совсем понятно, какой курс учитывался. Особенно актуально это для расчетов по картам, поскольку около 350 миллионов рублей - это оценка потерь по картам, эмитированным за пределами РФ (т.е. они привязаны к иностранной валюте), а около 670 миллионов рублей - это оценка потерь по картам за пределами РФ. Иными словами, по двум третям суммы карточных потерь есть вопрос - насколько она точна и учитывает двухкратный скачок курса рубля к валюте?
  • В Северо-Кавказском федеральном округе, наконец-то, зафиксированы инциденты :-) В прежних отчетах в этом регионе было нулевое значение киберпреступности :-) При этом основой канал мошенничеств по картам на Кавказе - это Интернет и мобильная связь - очень сильно выпадает это значение на фоне других регионов. Но все равно Кавказ, после Крыма, - самый безопасный регион по версии Банка России. Еще бы привязать эти абсолютные цифры к числу финансовых организаций и клиентов, чтобы понять реальное состояние дел.
  • Объем преступлений по картам и по ДБО примерно равны - по полтора миллиарда рублей.
Вот такие краткие результаты. Если честно, то я не в восторге от отчета. Он красиво выглядит, он отлично воспринимается журналистами (они любят цифры потерь), но вот для службы или специалиста ИБ участника национальной платежной системы данных для принятия решений в отчете почти нет. По сути хоть какая-то аналитика (например, по месту совершения преступления) есть только по платежным картам. Но ведь это не 203-я форма отчетности, а 258-я. Если вспомнить, что отдается в ДНПС по 203-й форме, то мы увидим:

203-я форма отчетности - текущий период
203-я форма отчетности - предыдущий период

И где в представленном отчете Банка России информация по типам инцидентов, по их причинам, по их описаниям, по нарушенным требованиям 382-П, по последствиям, по факту обращения в правоохранительные органы? Увы, ничего этого нет. То есть понять, что служит причиной кражи тех миллиардов, о которых говорит ЦБ, невозможно. А значит невозможно и улучшить систему защиты Национальной платежной системы :-( И возникает вопрос, а зачем тогда эта отчетность нужна, если никто не делает по ней никаких выводов? Или в ДНПС не осталось никого, кто это мог бы делать? Тогда может быть отдать отчетности в ГУБЗИ? Там есть кому понять, что значат все поля 203-й формы, а не только сумма похищенных или готовящихся к хищению средств.

22.06.15

Как оценить экономическую эффективность DLP-решения в контексте деятельности службы HR

Дмитрий Мананников (CISO СПСР-Экспресс) на своих выступлениях часто приводит кейс, когда DLP-решение может помочь департаменту HR в решении его задач. Не задач ИБ, а именно в решении HR-задач. В частности, DLP-решение позволяет своевременно обнаружить и, временами, предотвратить, увольнение людей, которых требуется впоследствие заменить. Учитывая, что на поиск и найм кандидата на замещение вакантной должности уходит около 2-3 месяцев, а увольняющийся уходит максимум через 2 недели с момента озвучивания своего решения, то заблаговременное предупреждение HR-службы со стороны службы ИБ, эксплуатирующей DLP-решение, способствует тому, что либо HR успевает поговорить с увольняющимся и отговорить его, либо своевременно найти ему замену, чтобы кандидат на замещение вакантной должности вышел одновременно с уходом сотрудника.

Вот собственно из этого примера я попробовал вытащить вполне конкретные и измеримые показатели, которые, суммировав, можно заложить в кейс по оценке финансовой эффективности DLP-решения, решающего задачи HR. Кстати, эту задачу может решать не только DLP-система, мониторящая почту, но и система контроля доступа в Интернет (система контентной Web-фильтрации), которая позволяет отслеживать доступ к сайтам поиска работы и выявлять превышения неких стандартных значений. Эту же задачу может решить и функция URL-фильтрации в современных NGFW.



Итак, какие затраты могут быть учтены в рамках данного кейса:
  1. Финансовые потери от недоработки. Человек, готовящийся к увольнению и принявший такое решение, может работать в полсилы. Если на предприятии ведется учет определенных показателей деятельности сотрудников, то по ним можно судить о том, насколько человек недорабатывает, а значит компания теряет деньги.
  2. Временные и финансовые потери на увольнение человека (выплаты пособия, оформление бумаг, возврат оборудования и иных активов и т.п.).
  3. Временные и финансовые затраты на запуск процесса поиска нового кандидата (самостоятельно или через внешний рекрутинговый сервис или компанию).
  4. Временные и финансовые затраты на отбор и собеседование кандидатов.
  5. Временные и финансовые затраты на прием кандидата на работу.
  6. Финансовые потери от момента приема работника до его полного включения в рабочий процесс. Нередко в компании есть норма выработки на одного сотрудника. Очевидно, что новичок не всегда способен с ходу влиться в коллектив и начать приносить пользу, на которую рассчитывает работодатель. Процесс выхода на плато продуктивности может занимать до полугода, а это вполне конкретные потери (или недополученные доходы) для компании.
  7. Финансовые затраты на обучение нового сотрудника.
  8. Временные и финансовые затраты на менторство нового сотрудника со стороны "старожилов", которые будут отвлекаться от своей основной работы на помощь новичку.
  9. Временные и финансовые потери на заведение новой учетной записи и время простоя от отсутствия синхронизации учетной записи со всеми системами (вот в этой презентации это более подробно описано - слайды 29-37).
  10. Финансовые и временные затраты на PR. Если сотрудник был высокопоставленный или публичный, то может понадобиться объяснить или опубликовать официальный пресс-релиз о произошедшем событии.
  11. Временные и финансовые затраты на получение сертификатов, которые "висели" на ушедшем сотруднике. Например, потеря сертификата по результатам обучения 500 часов или сертификата CCIE может повлечь за собой потерю лицензии ФСБ или статуса золотого партнера Cisco соответственно.
Измерять эффективность DLP-систем по числу уволенных сотрудников, как это на мероприятиях говорит SearchInform, тоже можно. Только вот данная эффективность никак не связана с бизнес-задачами предприятия, на котором данная система работает или должна работать.

Не все указанные показатели могут быть легко вычислены. Не по всем служба ИБ имеет исходные данные (или не может их получить). Не всегда HR воспримет такой способ "выманить" у них деньги или, иными словами, заручиться их поддержкой. Да и сама служба ИБ тоже не всегда готова уйти от традиционного взгляда на DLP, как на систему контроля утечек информации. Но попробовать стоит. А вдруг получится?..

19.06.15

Можно ли считать Snort отечественной системой обнаружения атак и может ли он защищать гостайну?

Продолжу тему про импортозамещение в отечественной ИБ-индустрии. Итак на сайте "Кода безопасности" в открытом доступе лежит сравнение их "Детектора атак" с другими отечественными системами обнаружения атак. Нормальный документ, но не без косяков, конечно, присущих любому конкурентному анализу. Например, в разделе про базу сигнатур (решающих правил) в одном случае написано, что она коммерческая, а в другом - что она состоит из собственных, открытых и коммерческих сигнатур, совместимых только со Snort. Почему для первой системы это не указано, если она тоже базируется на Snort?


Но удивило меня не это (косяки или некоторые преувеличения в конкурентных сравнениях допускают все). Вопрос в другом. Как можно было при использовании разработанного в США Snort (кстати, не самой последней версии),


Фрагмент документации

при использовании американской базы сигнатур атак (а Emerging Threats, чьей базой пользуется "Детектор атак", принадлежит американской Proofpoint),
Фрагмент с сайта

говорить о том, что


Я даже сейчас вопрос с ОС (а там все построено на базе FreeBSD, OpenBSD, Linux и Windows) не поднимаю, а они явно разработаны не компаниях-"разработчиках" систем обнаружения вторжений. Тут хотя бы по движку IDS решить. Можно ли его называть разработанным в России, да еще конкретной компанией? Как мне кажется, нет! А уж по в отношении всего ПО и его составных частей тем более.

Кстати, когда я уже писал эту заметку, в голову залетела шальная мысль: "А как вообще американская Emerging Threats может продавать в России свою продукцию, которая используется в организациях, находящихся под санкциями?" Это ж риски для потребителя, который в определенный момент просто не сможет получать актуальные сигнатуры атак...

При этом все эти системы могут не только интегрироваться в ГосСОПКУ (это, кстати, 8-й Центр ФСБ вполне допускает), но и защищать гостайну.


Выводов никаких не делаю - делал еще в прошлый раз.

ЗЫ. Увы, но недавние дискуссии в Facebook по поводу переделанной под гостайну и местами неработающей так как от нее ждут ОС Astra Linux показывают, что даже с open source у нас до конца не смогли разобраться.

18.06.15

Обзор "методики" моделирования угроз 8-го Центра ФСБ

8-й Центр ФСБ опубликовал очень интересный, но уже и нечаянный документ, посвященный моделированию угроз персональным данным. Если быть точнее, это не методика моделирования угроз, а методика разработки нормативно-правовых актов, определяющих угрозы ПДн. Откуда такая странная формулировка?

Для этого надо вспомнить предысторию вопроса. Как сейчас помню, в июле 2011-го года мы собрались в АДЭ, в рабочей группе созданной 8-м Центром и посвященной разработке 1119-го Постановления Правительства. Правда, тогда это было 2 постановления. И вот обсуждали мы как раз 19-ю статью, во исполнение которой постановление об определении уровней защищенности и создавалось. И закономерно всплыл вопрос - как учесть угрозы для отдельных видов деятельности, о которых говорит ФЗ-152 и от которых должен был зависеть уровень защищенности? Участниками рабочей группы было предложено два варианта реализации - простой и не очень. “Не очень” заключался в том, что 8-й Центр выпустит под эгидой Правительства или самостоятельно набор типовых моделей угроз, которые будут применяться для разных отраслей. Для операторов связи эту тему захотела сразу подмять под себя АДЭ, что и произошло спустя 3 года, в конце 2014-го (правда, судьба этой инициативы покрыта мраком). Но представитель 8-го Центра тогда выступил против, заявив, что они не готовы для каждого вида деятельности писать свою модель угроз.

Второе предложение заключалось в том, чтобы разработать методику моделирования угроз, который бы уже пользовались отраслевые регуляторы и госорганы. Очевидно было, что без руководства, такие модели никто писать не будет - никто не захочет брать на себя ответственность за всю отрасль или целый госорган. Напишешь мало актуальных угроз - еще и накажут. Напишешь много - в бюджете денег на нейтралиацию не найдешь. В итоге за прошедшее с момента принятия летом 2011-го года последней серьзной редакции ФЗ-152 время, отраслевых моделей так и не появилось. Но идею с методикой 8-й Центр тоже проигнорировал, хотя эксперты предлагали свою помощь и в этом вопросе. Хотя, может быть я и не прав. Вспоминая, что 378-й приказ 8-й Центр тоже "рождал" около 3-х лет, то вполне возможно, что работа над методикой тоже была начата в июле 2012-го года и спустя 3 года мы увидели результат этой работы. Но это неподтвержденная версия.



После моей заметки летом 2013-го года о том, почему бы 8-му Центру не написать все-таки такой руководящий документ, на одном из мероприятий я услышал от первого заместителя директора 8-го Центра Кузьмина Алексея Сергеевича тезис о том, что я нифига не понимаю в действующем законодательстве и ФСБ не обязана писать никаких руководств по моделированию угроз. Правда, выпущенный сейчас методический документ опровергает этот тезис. А может просто ФСБ достали операторы ПДн вопросами о том, как моделировать угрозы...

Но финал закономерен - методичка появилась. Но повторюсь, что это не совсем методика моделирования угроз. Следуя преамбуле документа, он предназначен для тех, кто упомянут в части 5 19-й статьи 152-го закона, т.е. для
  • Федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности,
  • Органов государственной власти субъектов Российской Федерации,
  • Органов государственных внебюджетных фондов,
  • Иных государственных органов в пределах своих полномочий.
Именно они, следуя методике, появившейся спустя 4 года с момента необходимости ее появления, смогут теперь разрабатывать свои отраслевые списки актуальных угроз ПДн. Остальным операторам ПДн "целесообразно руководствоваться" (как написано в документе), этой методикой.

Но насколько эта методика обязательна к применению? Как и предыдущие методические документы ФСБ 2008-го года, данная версия методики не имеет статуса юридически обязательного к исполнению документа. В Минюсте она не зарегистрирована, в источниках публикации официальных нормативно-правовых актов не опубликована, кем подписана - не понятно. На шапке красуется стандартная для методичек ФСБ фраза, что документ “Утвержден руководством 8-го Центра ФСБ”. С документами семилетней давности новую методичку роднит еще и номер, с которого они все начинаются - 149. Наверное это что-то значит, но фиг поймешь что. Возможно это число знаменует собой все необязательные документы 8-го Центра ФСБ по теме персональных данных. Иными словами, данный документ не является обязательным к применению, хотя ряд здравых мыслей и идей в нем присутствует, что позволяет не полностью его отвергать.

Из интересных моментов, на которые я обратил внимание:
  • Документ описывает только те моменты, которые находятся в сфере компетенции ФСБ, т.е. применение средств криптографической защиты (СКЗИ) и атаки на них и их окружение. Ни на что другое методика не претендует.
  • Методика в целом сочетается (как минимум, не противоречит) с проектом методики моделирования угроз ФСТЭК. Структуры итоговых документов (моделей угроз) по версии ФСТЭК и ФСБ схожи.
  • Вопрос применения СКЗИ для защиты ПДн ничем не отличается от аналогичных подходов 2008-го года и от 378-го приказа. Если есть угрозы, которые могут быть нейтрализованы только СКЗИ, надо применять СКЗИ. Однако есть и определенные терминологические оговорки и послабления, которые также в последнее время представители 8-го Центра использовали в своих непубличных выступлениях. В частности перед выпуском 378-го приказа 8-й Центр заявлял в Совете Федерации о творческом подходе к формировании модели нарушителя и необязательности применения СКЗИ даже при передаче ПДн через Интернет. Вспомните один из предложенных Правительством вариантов ухода от применения сертифицированной криптографии.
  • Пассаж о том, что СКЗИ обязательны в случае передачи ПДн по каналам связи, незащищенным от перехвата нарушителем передаваемой по ним информации, я бы не рассматривал в контексте, что в Интернет можно использовать только СКЗИ. Это не так. Например, MPLS защищает от перехвата ПДн, если не рассматривать оператора связи в качестве нарушителя. И архивирование защищает. И обезличивание тоже. Да и другие варианты тоже есть. 
  • Правда, 8-й Центр считает, что делать выводы о том, что MPLS, архивирование или иные механизмы защищают от несанкционированного доступа, может только некая уполномоченная на такие выводы организация. Но ни слова о том, кто ее может на это уполномочивать не сказано. Думаю, что эта фраза сделана в расчете на то, что она отпугнет тех, кто будет уходить от применения сертифицированных СКЗИ :-) Особенно учитывая статус рассматриваемой методички.
  • Что касается сертификации СКЗИ, то в документе опять есть терминологическая тонкость, так похожая на фразы из 21-го приказа ФСТЭК. Постулируется, что СКЗИ должны быть... нет, не сертифицированными, а прошедшими оценку соответствия. А список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. В 21-м приказе была заложена та же конструкция - СЗИ должны пройти оценку соответствия, а если будут применяться сертифицированные СЗИ (а обязательная сертификация - это одна из форм оценки соответствия, но не единственная), то они должны соответствия требованиям ФСТЭК. В рассматриваемом документе 8-го Центра, осознанно или нет, зафиксирована та же мысль. А вот если выбираются СКЗИ сертифицированные, то они должны уже соответствовать требованиям 378-го приказа.
  • Зачем-то 8-й Центр ушел в документе от понятия "нарушителя", ранее активно используемого; как и от "модели нарушителя", заменив их "источниками атак" и "возможностями источников атак".
  • Достаточно гибко 8-й Центр подошел к вопросу признания угроз неактуальными, дав возможность такого решения тем, кто будет писать свои отраслевые модели угроз. При этом в модели должно быть описано, почему та или иная угроза считается неактуальной и что позволяет ее нейтрализовать (в данном контексте нейтрализация угрозы и позволяет считать ее неактуальной).
  • Согласование с ФСБ частных моделей угроз операторов ПДн не требуется. 
В целом данная методичка ФСБ вызвала у меня скорее положительное, чем отрицательное отношение. Она сбалансирована и позволяет при правильном подходе (и чтении) создать гибкую модель угроз. Такое впечатление, что 8-й Центр устал уже заниматься этой темой, но явно признать возможность использования не только сертифицированных СКЗИ пока не готов. Поэтому появляются такие документы, в которым пытливый ум найдет все, что нужно, а непытливый пойдет по старинке - через сертифицированные СКЗИ. И все довольны :-)

17.06.15

12 документов по персональным данным, появившихся за последние 2 месяца

В связи с приближающимся 1-м сентября и увеличившейся активности законодателей и регуляторов по направлению персональных данных (а также для борьбы со своей забывчивостью) решил свести воедино все последние (за последние два месяца) документы и проекты документов по данной тематике. Итак вот список:
  • Законопроект «О внесении изменений в Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» и Федеральный закон от 24 апреля 2008 г. № 48-ФЗ «Об опеке и попечительстве» (в части ПДн учащихся)
  • Проект Постановления Правительства Российской Федерации «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации»
  • Проект Постановления Правительства Российской Федерации «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»
  • Проект приказа Роскомнадзора «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»
  • Проект приказа Роскомнадзора «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»
  • Ответ *** *** по поводу ФЗ-242 (непубличный документ)
  • Ответ *** *** по поводу ФЗ-242 (непубличный документ)
  • Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (буду отдельно писать заметку по ним) 
  • Проект приказа ФСТЭК по моделированию угроз
  • Постатейный комментарий Роскомнадзора к ФЗ-152 (буду отдельно писать заметку по нему)
  • Законопроект "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации" (закон о "праве на забвение")
  • Законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления административной ответственности операторов поисковых систем)" (о наказании нарушителей права на забвение).
Чертова дюжина не получилась, но 12 - тоже красивое число :-)

ЗЫ. Ведомственные приказы ФОИВов по ПДн "для себя" в список не включал.

Три в одной: впечатление от ITSF

Завершилась для меня последняя неделя мая участием в казанском IT & Security Forum (ITSF), который я традиционно посещаю уже не первый год; мне даже отдельную стойку регистрации выделили. Шутка :-)



И я не раз уже писал про это мероприятие. Поэтому много писать не буду, отметив только некоторые моменты. Во-первых, это феноменальная организация. Именно что феноменальная. Никаких накладок, начиная от встречи в аэропорту и заканчивая проводами. Особенно мне понравилась тема с кураторами залов (а их было 4), которые заранее звонили и просили принесли презентацию для ее предварительной проверки, а также заранее напоминали о времени выступления и просили прийти заранее, чтобы не было пробелов между выступлениями. Особенно актуально это было для утренних сессий второго дня, после насыщенной культурной программы дня предыдущего.

Активность кураторов залов, в которых я выступал 

В номере гостиницы меня искренне поразил телевизор, а точнее изображение на нем. Обычно телевизор отображает приветствие, а в этот раз он показывал информацию о мероприятиях ITSF. Я такого раньше нигде не видел. Хотя я и понимаю, как это все устроено. Вся ИТ-инфраструктура отеля Корстон, где проходил ITSF, построена на оборудовании Cisco, и реализовать персонификацию не составляет большого труда. Но выглядело очень интересно.


Культурная программа была как всегда на высоте. Тут и фотовыставка работ Василия Широкова, заместителя генерального директора российского офиса Check Point, позже превратившаяся в благотворительный аукцион.


Тут и концерт группы Uma2rmaH. Много драйва, много музыки, много народа... Хотя со звуком были проблемы, даже у тех, кто сидел в первых рядах. Видимо, звукооператор что-то намудрил.


Хочу отметить особую атмосферу в Максимилианс, месте проведения вечерней программы. Такого и в Москве нет, где все разбредаются после мероприятия или в официальной обстановке сидят за столами и пялятся на поющих и танцующих на сцене. Нет конкурсов и того фана (от англ. fun), который сопровождал те несколько часов, которые продолжалось веселье. Надо отдать должное организаторам и тамаде, которые все время держали в тонусе аудиторию своими задумками. Был сделан отличный фильм об ITSF в стиле репортажа с блондинкой из "Вечернего Урганта", но пока его не выложили на YouTube (пока там ролики прошлых лет).


По традиции организаторы подготовили сюрприз. В этот раз они решили обрить меня, лишив части лицевой растительности. И только благодаря жертве Васи Широкова, мне удалось избежать бритья - весь удар на себя принял Василий. Надеюсь, что в следующем году он также меня спасет. А ведь организаторы уже проговорились, что они готовят мне обрезание :-) Но вся надежда на Васю - он должен прийти на помощь; не впервой :-)


Про непрерывно действующие стенды и демонстрации, а также про постоянную еду в фойе конференции писать не буду - это все было и позволяло коротать время участникам, которые не могли найти себе интересный доклад.

Столпотворение на моем докладе про взлом нефтяной компании Ближнего Востока
В отличие от PHD и ИТОПК на ITSF у меня не было участия в пленарной секции, зато было модерирование круглого стола (опять про импортозамещение), открытие сессии одного из партнеров форума, и три выступления - рекламных и не очень:
  • Вы все еще опираетесь на точки контроля в сети. Выбросьте их на свалку. Превратите всю сеть в СЗИ (скачать)
  • Опыт построения собственной системы Threat Intelligence (скачать)
  • Взлом одной из нефтяных компаний Ближнего Востока. Анализ реального случая (скачать)
Вот такими выдались эти непростые несколько дней - 4 перелета и три мероприятия в одну неделю.

16.06.15

Три в одной: впечатление от ИТОПК

На следующий день после PHD у меня была конференция ИТОПК, а точнее "ИТ в оборонно-промышленном комплексе России", проводимая под эгидой Ростехнологий и для предприятий Ростеха. Проводилась она под Казанью, в официально открытом неделей позже Иннополисе. 

Главный корпус Иннополиса
Надо сказать, что мне Иннополис понравился больше, чем Сколково. В первую очередь тем, что это реальный кампус, в котором уже построено много объектов; который находится вдали от столицы; в котором отличная экология и окружающая среда. Чем-то Иннополис мне напомнил Кремниевую Долину - это реально те место, где можно что-то делать не из-под палки и не с политическими лозунгами на флаге.


Вид из номера горнолыжного комплекса рядом с Иннополисом (я там коротал 4 часа от прилета самолета до выступления)
Учитывая, кто курировал данное мероприятие, оно было организовано богато, но не без косяков. Больше всего мне запомнилось, как было написано название одной китайской компании :-)  


Но вернемся к мероприятию. Я достаточно странным образом попал на него - по прямому приглашению Ростехнологий. Я должен был участвовать в круглом столе, посвященном импортозамещению. Видимо одноименный круглый стол на РусКрипто и предшествующая ему кампания мемов в Интернете запомнились многим :-) Однако круглый стол в итоге трансформировался в пленарное заседание, где я выступал вместе с главой ОАК, РТ-Информа и замминистра связи и массовых коммуникаций. 



На пленарном заседании, которое предварялось выступлением министра Никифорова, много говорилось о том, что должен быть разумный подход в вопросе импортозамещения; что рубить с плеча нельзя; что нельзя запрещать использование западных технологий и работу иностранных компаний, у которых колоссальный опыт, отказываться от которого пока нельзя. Поэтому министр, а за ним и другие участники, больше говорили об экспортопригодности российских ИТ, которые можно продавать партнерам России по различным блокам - БРИКС, ОДКБ, ШОС, СНГ и т.п. Мое краткое выступление было скорее экспромтом и говорил я примерно о том же, но в контексте информационной безопасности и уровнях доверия к используемым технологиям. 

Запомнился мне один забавный момент. Перед началом пленарного заседания распорядителем зала был просто фееричный молодой человек в футболке, так подходящей к теме импортозамещения :-)


После пленарки я пошел на заседание по информационной безопасности, которое модерировал представитель 2-го Управления ФСТЭК Дмитрий Шевцов и директор центра компетенции ИБ РТ-Информа Андрей Губарев, и на котором представители ОПК и спонсоры конференции делали доклады. Кто-то делился наболевшим, кто-то рассказывал о своей продукции. Было местами интересно.


Однако меня неприятно удивило, что некоторые заявленные в программе выступающие снимали свои выступления и отказывались от них. Возможно это было связано с тем, что днем ранее они уже уже обо всем договорились и нужда в их выступлении отпала. С точки зрения бизнеса оно и понятно - чего метать бисер, если от него уже ничего не зависит. Но вот с точки зрения аудитории такое кидалово выглядело не комильфо. Ну да ладно, Чемезов им судья :-) Главное, чтобы сырую продукцию не подсунули...



В этот же день я вернулся из Казани в Москву, чтобы на следующий день вновь лететь обратно в Казань на IT & Security Forum (зачем такие сложности даже и не спрашивайте).

Три в одной: впечатление от PHD

Неделя 25-29 мая выдалась у меня напряженная неделя - обучение и три конференции - PHD, ИТОПК и ITSF. Поэтому три последующих заметки будут посвящены впечатлениям от этих мероприятий, каждому из которых я посвятил один день (исключение составила только казанская ITSF, где я "завис" на два дня). Начну с PHD.

У меня к этому мероприятию трепетное отношение еще с самого первого PHD, проходившего в гостинице "Молодежной". С тех пор мероприятие уже дважды меняло свою площадку, пока не осело в ЦМТ на Красной Пресне. Из двух дней я был только в первый и своей впечатление у меня формировалось только по нему, а также по отзывам коллег в Facebook. Сразу отмечу, что многих коллег я так и не встретил - большая площадка и цейтнот по времени :-( 

Традиционно PHD начался с пленарной сессии, на которой сошлись представители властных структур - депутаты Госдумы, представитель МИДа, представитель 8-го Центра ФСБ, представитель ФНС и, непонятно как туда затесавшийся, я. 

Пленарка PHD
Отдельные несознательные личности часто критикуют PHD именно за такую вот "попсу", считая, что хакерское мероприятие должно быть рассчитано только на гиков, а доклады должны быть такими, чтобы их поняли от силы две три сотни специалистов в стране. Я эту неумную мысль не разделял и не разделяю. Во-первых, чисто хакерские тусовки, на которых только и говорят о взломах и дырах, забывая упомянуть, как с этими проблемами бороться, - это движение в одну сторону; и сторона эта явно не белая. Во-вторых, пытаться улучшить отрасль (а мероприятие, если не рассматривать только версию своего пиара и заработка, направлено и на это) без привлечения всех ее участников невозможно. Ни один технарь, каких бы семи пядей во лбу он не был, не способен ничего сделать, если не может донести свои чаяния до властей и получить от них обратную связь.

Перед началом пленарки. Вид со сцены.
На PHD такая связь была - присутствовали и представители Госдумы, и ФСБ, и ФСТЭК, и МВД. Причем присутствовали не негласно и без бейджиков, а вполне легально и даже выступали. Мне, например, понравилась секция ФСТЭК, на которой рассказывалось о последних веяниях регулятора в контексте конференции PHD. Говорилось о банке данных угроз и уязвимостей, об устранении дыр, о возможности разработки в России своего аналога CVSS (кстати, 10 июня вышла 3-я версия). Забавно что на данную секцию пришли послушать и те, кто рьяно ругает регулятора и считает, что им не место на хакерских тусовках.

Секция ФСТЭК
По сути PHD является на сегодняшний день (и с момента своего основания) реальным объединением "пиджаков" и хакеров, бизнеса и регуляторов. Всем находится место, всегда есть место диалогу. В этом и ценность этого позитивного мероприятия, проводимого уже в пятый раз.

Про положительные стороны больше не буду - достаточно подробно описывал это в предыдущие годы. Хочу добавить немножко дегтя. Речь идет о работающих макетах цифровой подстанции и железной дороги, которые пытаются взламывать в течение двух дней конференции. Точнее не о самих макетах, а о практическом выхлопе из этих взломов. Сложно продемонстрировать последствия от атак на эти систему управления технологическими процессами.

Макет цифровой подстанции на PHD
Если с железной дорогой еще можно как-то заставить поезд сойти с рельсов, то непонятно, что демонстрировать в виде результата взлома цифровой подстанции. Погасшую лампочку? Это не цепляет. Тут надо придумывать что-то другое. Например, на стоящей рядом плазме демонстрировать хроники столкновения поездов, схождения их с рельсов и тому подобные катастрофы, которые смогут придать кибератаке зрелищности и понятности. В случае с подстанцией можно показывать часто используемый голливудскими кинематографистами пример с поэтапно гаснущими кварталами города или с отключением электроэнергии на побережье США.

Макет железной дороги на PHD
Иными словами надо добавить зрелищности и понятности к тому, что уже сделано. Тогда эти стенды превратятся из загнанных в угол в центральные элементы мероприятия, к ним можно будет водить экскурсии регуляторов и депутатов, которые не будут уже рассматривать эти стенды как игрушки, а начнут относиться серьезно к теме кибербезопасности.

Заключительным аккордом в моем взгляде на PHD станет выставка изобразительных работ, демонстрируемых в фойе конференции. Не могу сказать, что это ново - выставки работ уже были и раньше, но в любом случае это позволяет отвлечься от технических докладов. Что тоже бывает полезно.


Вот, пожалуй, и все, чем мне запомнился в этом году PHD.

ЗЫ. Для тех, кого смущает число людей на второй фотографии, хочу отметить, что она была сделана еще до 10-ти утра, т.е. до официального начала мероприятия. В течение дня картина в залах была такая:

Заполненность залов на PHD (фото из Facebook)