08.02.16

Очередной мертворожденный законопроект по ИБ в России

В прошлом апреле я писал про проект законопроекта (да-да, именно так) "О мерах по обеспечению информационной безопасности Российской Федерации" и вот, спустя девять месяцев, законопроект внесен в Государственную Думу тем же депутатом Потаповым.

Что нам предлагает депутат в разрезе обеспечения информационной безопасности и что должен рассматривать комитет по информационной политике (а не безопасности):

  1. Создать реестр ВСЕГО ПО, разработанного в России, включая и его исходные коды, а также средства разработки и отладки.
  2. В реестр включается только то ПО, которое не содержит недокументированных функций и иных уязвимостей.
  3. В реестр можно включать и иностранное ПО, а если исходных кодов по нему нет, то на на включение такого ПО в реестр нужно отдельное решение Правительства.
  4. Вводится понятие базового ПО (БПО), то есть ОС, СУБД, СрЗИ, VPN и т.п., на базе которых строится все остальное ПО и информационные системы.
  5. За разработку ПО для анализа защищенности БПО и информационных систем должно отвечать Правительство, которому, как известно, ни ФСТЭК, ни ФСБ, не подчиняются, будучи в непосредственном подчинении у Президента.
  6. Правительство также должно формировать госзаказ на специалистов в области защиты информации и анализа защищенности.
Это тезисно я выделил ключевые положения нового законопроекта, шансы которого, я оцениваю как нулевые. Он совершенно отвязан не только от реальности, но и от уже сделанных шагов по части импортозапрещения. Об этом же говорит и отзыв Правительства на законопроект. Зато интересно ознакомиться с расчетами депутата на адаптацию и разработку базового ПО и средств защиты. Если верить депутату, на реализацию всех мер по обеспечению ИБ России необходимо не более трех лет и всего 32,2 миллиарда рублей.

Еще 20 миллиардов рублей, по оценкам уже иностранных экспертов, Россия готова ежегодно тратить на разработку кибероружия (сколько РФ готова тратить на кибероборону эксперты умалчивают, но думаю порядок тот же). Но это уже другая история...

05.02.16

Лицензия ТЗКИ для собственных нужд больше не потребуется

На портале проектов нормативных актов выложен неприметный документ с неприметным названием: "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности", который при этом касается именно нашей с вами темы, а точнее вопросов лицензирования деятельности по технической защите конфиденциальной информации (ПП-79).

Самое главное, что предлагается изменить, - в явной форме зафиксировать мысль, что лицензия для обеспечения собственных юрлица или индивидуального предпринимателя не требуется. Если этот документ примут в такой редакции, то наконец-то будет поставлена точка в вопросе - нужно или нет получать лицензию на ТЗКИ для защиты собственной информации (например, при реализации положений ФЗ-152).

А вот что касается тех, кто предоставляет услуги по защите информации третьим лицам, их новый проект положения коснется в полной мере. Среди нововведений:

  • Требование лицензии на ТЗКИ при проведении мониторинга ИБ. То есть все SOCи и иже с ними потребуют получения соответствующей лицензии от регулятора.
  • Наладка средств защиты также теперь потребует лицензии ФСТЭК.
  • Четко прописаны требования к квалификации и количеству персонала у лицензиата.
  • Оборудование, необходимое для выполнения лицензионных работ, теперь должно быть только в собственности лицензиата. Больше никакой аренды.
  • Требование наличия системы менеджмента ИБ в соответствие с требованиями национальных стандартов. Иными словами, теперь все лицензиаты ФСТЭК должны у себя реализовывать ISO 27001. Что интересно, при подаче документов на получение лицензии необходимо представить копии документов, подтверждающих наличие такой системы менеджмента. Что это за документы? Сертификат соответствия, выданный BSI или иным органом по сертификации?
  • Появилось требование обязательного повышения квалификации один раз в пять лет.
Что можно сказать в качестве резюме по данному проекту нормативного акта. ФСТЭК снимает обременения с тех, кто занимается защитой для себя (а точнее ставит точку в бесконечных спорах о необходимости получать лицензию для собственных нужд). И это позитивно. С другой стороны, требование иметь собственное оборудование повышает порог вхождения в этот бизнес (оборудование недешевое). А уж требование иметь сертификат по 27001 и вовсе существенно сужает число потенциальных игроков этого рынка, оставляя только тех, кто реально понимает, что и зачем он делает. "Старперам от аттестации" больше не место в этой области.

Вторая часть проекта постановления посвящена внесению изменений в ПП-171, посвященное лицензированию деятельности по разработке средств защиты конфиденциальной информации. Тут изменения схожи с вышеописанными:
  • Четко прописаны требования к квалификации и количеству персонала у лицензиата.
  • Оборудование, необходимое для выполнения лицензионных работ, теперь должно быть только в собственности лицензиата. Больше никакой аренды.
  • Наличие системы менеджмента качества (ISO 9000), а также реализацию стандарта (пока проекта) по безопасному программированию (SDLC).
Собственно, ключевое изменение - последнее. Раньше наличие сертификата соответствия ISO 9000 не требовалось при получении лицензии на разработку средств защиты. С одной стороны это позитивный момент, так как с рынка уйдут фирмы-однодневки, решившие на волне импортозамещения по-быстрому состричь денег за счет выпуска какой-нибудь поделки. С другой - требование сертификации системы менеджмента качества выводит за скобки нарождающиеся стартапы, которые не смогут вкладываться в эту статью затрат пока не продадут достаточно количества своих решений. А продавать они их смогут только коммерческим компаниям, которым не требуется сертификация средств защиты (сертификат может быть выдан по сути только лицензиату). Так что решение неоднозначное, но интересное.

ЗЫ. Желающие могут высказать свои предложения (а не критику) на странице законопроекта.

02.02.16

"Налог на Гугл" не самое страшное в поручении Президента или когда в России запретят западную криптографию?

Вчера многие СМИ, анализируя список поручений Президента, писали только про "налог на Гугл", поставив его на первое место. У меня немного иная точка зрения по поводу последствий принятия нормативных актов, которые вытекают из этих поручений.

12-м пунктом в поручении Президента значится регулирование вопросов шифрования данных в отечественных сетях связи. Сначала я думал, что это та идея, которая уже звучала многократно на разных открытых и не очень площадках - отделить государственную криптографию от гражданской. Но потом обратил внимание, что за нарушение новых требований по шифрованию данных в российских сетях связи предлагается наказывать. А значит речь идет не о послаблениях, а об ограничениях.

Потом вспомнилась озвученная на форуме идея по мониторингу зашифрованного трафика иностранных соцсетей и Интернет-сервисов, а потом и прошедшая немного в стороне новость о введении с 1-го января 2016-го года в Казахстане узаконенного MITM (Man-in-the-Middle), то есть перехвата и расшифрования всех передаваемых данных. Видимо, эту идею решили внедрить и у нас. Понятно, что для борьбы с терроризмом и экстремизмом. Нельзя же подумать, что государство, которое так заботится о правах граждан и постоянно упоминает о необходимости обеспечения конфиденциальности персональных данных и других видов тайн, хочет получить доступ к этой информации для каких-то своих, не очень понятных целей.

Меня в данном поручении интересуют чисто технологические нюансы реализации. На кого распространят требования будущего нормативного акта? На иностранных владельцев социальных сетей и Интернет-сервисов, работающих в России? Или на иностранных владельцев Интернет-сервисов, которые и слыхом не слыхивали об очередной юридической новации (как в случае с ФЗ-242, когда РКН распространяет его действие даже на зарубежные юрисдикции). В последнем случае лично меня интересует вопрос, значит ли это, что доступ к зарубежным Интернет-банкам или Интернет-брокерам будет перлюстрироваться российскими "фискалами" (или спецслужбами)?

Но еще более мне интересно узнать, попадут ли под действие предполагаемого законопроекта публичные или корпоративные VPN-сервисы? Не только SSL/TLS/DTLS/IPSec с мобильных устройств, но и межофисный  Site-to-Site VPN? В свое время, после ряда поездок в дружественный нам Китай, российские чиновники и сотрудники определенных структур, загорелись идеей заблокировать применение в России всей западной криптографии. Тогда это не получилось, но идея взять под контроль трансграничные потоки данных засела у некоторых в голове прочно. Потом г-жа Мизулина с ЛГБТ, ЛБИ (Лигой безопасного Интернета) носились с идеей запрета и введения уголовной ответственности за использование анонимайзеров и сети Tor (тоже не прошло). И вот новый виток интереса к данному вопросу, исходящий уже из уст самого Гаранта Конституции, в которой, как известно, говорится и про тайну переписки, и про невмешательство в личную жизнь (кроме как по решению суда). Но по миру идет уже не призрак коммунизма, а призрак терроризма, который заставляет поступиться некоторыми правами граждан и ввести определенные ограничения на свободы, в том числе и в Интернет. В конце концов, даже демократические США такой фокус провернули, о чем нам поведал Сноуден, которого никто никогда вживую не видел и не слышал. Почему же другой демократической державе нельзя сделать тоже самое?

И что будет с теми, кто откажется пустить уполномоченный орган к передаваемым данным? Видимо им запретят доступ на территорию России (и к ним с территории России). Одновременно решается сразу много задач - и запрет анонимизации, и раскрытие воров интеллектуальной собственности, и раскрытие заговоров террористов и экстремистов, и борьба с пятой колонной, и контроль тех, кто хочет хранить свои сбережения в иностранных финансовых организациях, забыв поделиться с государством... Да много еще каких применений можно найти в случае контроля всей зашифрованной переписки. Мечта любой спецслужбы мира...

Разумеется, знатоки практической криптографии могут задаться вопросом, а как тогда быть с такими технологиями как Certificate pinning или HTTP Public Key pinning (не говоря уже про HSTS), специально разработанными для борьбы с MITM? Но на этот вопрос я ответить не могу. Пока не могу. Ведь пока никакого законопроекта нет - есть только поручение Президента на 4 строчки, из которого я уже высосал целую заметку. Может я просто раздуваю из мухи слона? А может быть и нет... Посмотрим. До 1-го июня ждать осталось недолго; ведь именно к дню защиты детей приурочили завершение формирования указанных предложений.

PS. Фонд "Общественное мнение" уже посчитал, что 3/4 россиян согласны с прослушкой своей Интернет-переписки. То есть общественное мнение уже подготовлено :-(

О вчерашнем поручении Президента по очередному витку зарегулирования Интернет

Вчера на сайте Президента появился список поручений по итогам нашумевшего форума "Интернет-экономика", на котором в конце декабря присутствовал Президент России и на котором не только прозвучало несколько достаточно одиозных предложений якобы от отрасли, но и был избран советник Президента по вопросам Интернет (и это при живом Интернет-омбудсмене).

Итак, 4 озвученных Касперской, а также рядом других представителей Интернет-отрасли, инициативы вылились в список поручений, которые имеют своих ответственных и свои сроки исполнения. По нашей части там написано следующее:

  1. Приоритет при закупках (слово госзакупки уже не упоминается) должно отдаваться уже не только ПО, но и оборудованию, которое раньше в нормативных актах не фигурировало. К 1-му июня вопрос должен быть решен.
  2. К 1-му апреля должны быть подготовлены предложения по созданию центра компетенций по импортозамещению в сфере информационно-телекоммуникационных технологий. Создан он должен на базе ИРИ, Экспертного центра электронного государства и некоей Ассоциации разработчиков программного обеспечения. В последнем случае речь, похоже, идет об Ассоциации разработчиков программных продуктов (АРПП) ибо такой организации как АРПО я не нашел. Достаточно интересный косяк (или специально сделанная ошибка) в документе такого уровня, который готовился людьми, знакомыми с игроками в этой сфере. Интересно, что в подготовке предложений должна участвовать и ФСТЭК, что редкость для поручений Президента, который обычно многие такие вопросы отдает на откуп ФСБ. А вот последней в данном пункте почему-то нет.
  3. Идиотское предложение о запрете обучения иностранным технологиям и продуктам трансформировалось в сертификацию обучающих материалов, что по сути является тем же (заниматься экспертизой будут же запрещатели), но в красивой обертке. К 1-му июню должны быть разработаны соответствующие предложения.
  4. В эту же категорию можно отнести и поручение к 1-му сентября включить в образовательные программы высшего образования, включая и сферу ИБ, курсы и дисциплины, предусматривающие изучение отечественных разработок в области ИТ и ИБ. Интересная идея, но у меня возникают вопросы к тем, кто это предложил. Знают ли они, что отечественные средства защиты и так активно используются в процессе обучения? И знают ли они, сколько времени занимает подготовка и, что самое главное, включение в ФГОС соответствующих дисциплин? Или подразумевается, что за оставшиеся полгода ВУЗы в уже утвержденные программы обучения втиснут десятки часов изучения чего-то еще? Каким образом?
  5. Мониторинг информационных угроз ляжет на ФСБ, Роскомнадзор, Минюст, Генпрокуратуру, Минкомсвязь и... агентство по делам национальностей. Мне кажется, что незаслуженно забыто Министерство по делам Северного Кавказа и Министерство по делам Крыма. Ну и Фонд защиты прав соотечественников за рубежом тоже можно было бы привлечь, а то они там страдают от нападок в Интернете.
  6. "Замечательная" идея по регулированию, вдобавок к персональным, еще и личных данных, трансформировалась в регулирование просто данных. Видимо, есть на Старой площади грамотные люди, которые понимают, что личных данных не бывает в природе. Но вот сил на исключение этого пункта вообще у них не нашлось. Вот что означает "предложения по регулированию обработки данных граждан РФ в сети интернет"? Примут наконец-то законопроект по штрафам? Гармонизируют ФЗ-152 с новой евродирективой? Примут новый ФЗ-242? Но наличие в списке исполнителей ФСБ  наводит на грустные мысли.
  7. По линии Банка России предлагается унифицировать сведения, предоставляемые при банковском обслуживании, включая и Интернет-банкинг. Не знаю, что имелось ввиду; на встрече с Президентом эта тема не звучала.
  8. 12-й пункт ооооочень интересен, но про него я напишу сегодня позже, посвятив ему отдельную заметку. 
Вот такое "интересное" поручение. Видимо, не зря у меня в прогнозах одной из тенденций числится очередной виток регулирования Интернет. 2016-й високосный год может стать в этом плане очень непростым. 

29.01.16

Почему я не пишу подкасты?

На днях меня спросили, почему я не записываю подкасты по информационной безопасности, как это делают некоторые другие достойные коллеги. А так как это уже не первый раз, когда меня спрашивают, то решил сформулировать свой ответ в рамках заметки в блоге.

Итак, причина первая. Я визуал! Сам я предпочитаю читать и видеть глазами - книги, заметки, статьи, презентации. Поэтому я и завел 7 с лишним лет назад блог и так много делаю презентаций. Мне так комфортнее. Несколько лет назад я уже заводил себе учетную запись на каком-то из сервисов для ведения подкастов, но так и не смог заставить себя регулярно записывать свои мысли.

Причина вторая - лень. А так как подкасты должны быть регулярными (а иначе смысла в них особо нет), то и времени это займет уйму; а его и так не хватает.

Причина третья - большинство людей на Земле - именно визуалы. Не скажу, что абсолютное большинство, но точно больше чем аудиалов. Поэтому текстовыми заметками и выложенными презентациями я охватываю большее число пользователей. Хотя это больше смахивает на отговорку.

Причина четвертая - усилия. Запись требует много усилий. И чем качественнее хочется получить на выходе продукт, тем больше усилий нужно. К озвученным презентациям (слайдкастам) я пришел не сразу - ушло немало времени на то, чтобы от первых несмелых шагов в видеомонтаже прийти к тому, что сейчас я часто выкладываю в блоге. И даже это требует немалых усилий. Если на заметку у меня уходит Х времени, то на создание слайдкаста занимает X * 2,5 времени. Сначала текст надо озвучить, потом убрать лишнее, потом окончательно смонтировать, потом выложить в Интернет. Заметку я могу написать на смартфоне, а то и вовсе прогнать через Siri и выложить в Интернет после небольшой редакторской правки. А с видео/аудио так не получится - нужен компьютер для обработки перед публикацией. Возможно, это основная причина моего отказа от подготовки подкастов.

Причина пятая - психология. Вспомните разные варианты представления информации. Запись какого-либо выступления, слайдкаст, подкаст и текстовая заметка. Что вам удобнее смотреть/читать/слушать? А что удобнее делать автору? Если я смотрю запись какого-то выступления, то у меня четыре канала получения информации - голос, презентация, выступающий, окружение. Мой мозг распараллеливает обработку этих четырех составляющих и каждой из них уделяет около четверти своих ресурсов. И ляпы в одном из каналов могут быть не так заметны или компенсированы другими. Если я использую слайдкаст, то каналов донесения информации всего два - голос и презентация. Поэтому и тому, и другому уделять внимания надо больше, потому что внимание слушателя концентрируется только на них двух и ляпы становятся заметнее. А если я выбираю только подкаст, то у слушателя остается только мой голос и все "Аааа", "Ээээ", "собственно", "и т.д.", паузы становятся очень явными, а местами и раздражающими. Бороться с этим можно постоянной тренировкой. Но на нее нужно время и мы приходим к причине №4.

Кстати, для записи слайдкаста, подкаста и видео нужен совершенно разный опыт. Например, имея большой опыт публичных выступлений, я не сразу стал нормально записывать слайдкасты. Первые из них я переписывал по несколько раз, а уж на монтаж и вырезание пауз и слов-паразитов тратил немало времени. И только спустя год пришел опыт. Вот эту серию я уже писал сходу и почти не монтировал. Аналогичная ситуация с видео. Новогоднее поздравление я переписывал раз пять-шесть, а на монтаж ушло два дня. И то результатом я не очень доволен. А там ведь всего около пяти минут.

Поэтому резюмирую - запись подкастов или видео - это большой труд (если делать его качественно), который не соответствует результату, которого можно добиться меньшими усилиями, например, путем публикации текстовых заметок и слайдкастов. 

Как рядовой пользователь видит результат работы шифровальщиков

На Уральском форуме по банковской ИБ, в последний, пятый день конференции, я буду не только модерировать всех докладчиков, не только вести "Свою ИБ-игру", но и делать доклад на тему "Как на практике проводится анализ целевых и недектируемых угроз?". Планирую показать несколько демо с примером разбора реальных вредоносных программ "своими" силами. А пока суть да дело, выкладываю пару роликов, которые я записал готовясь к мероприятию, и которые демонстрируют работу шифровальщиков.

В качестве примера я выбрал CryptoWall 3-ей и 4-ой версии:



а также TeslaCrypt:


В рамках Уральского форума я планирую показать и примеры анализа некоторых других вредоносных программ, но у них нет такого визуального эффекта, как у шифровальщиков, задача которых напугать пользователя и заставить его расстаться с деньгами самостоятельно. У того же Zeus, Kronos, Tinba немного иные цели и поэтому их задача оставаться скрытными как можно дольше.

26.01.16

Прогнозы на год шипящего ужа

В конце года принято делать прогнозы на год грядущий. Не буду исключением и я и поделюсь своим видением того, что ждет нас в год обезьяны (он начнется в феврале). Хотя, по правде говоря, если уж быть патриотом и сторонником реального импортозамещения, а не смены продукции западного происхождения на восточные и не всегда качественные и тем более безопасные аналоги, то говорить надо о годе шипящего ужа, который наступает в марте. Это согласно древнеславянского календаря, который начинает новый год в день весеннего равноденствия.



В целом можно отметить, что в году уходящем в мире была передышка. Да и в России тоже. Регуляторы мало чем "порадовали" в уходящем году (может быть это и хорошо). Сенсационных разоблачений не было; как и инцидентов (кстати, Cisco на прошлой неделе выпустила свой годовой отчет с обзором произошедшего в мире; в том числе и на русском языке). Но пора оставить год ушедший в прошлом и посмотреть в год грядущий. Что он нам готовит? Я бы обратил внимание на следующее:

  • Интернет-советники Президента. Наряду с уже имеющимся Интернет-омбудсменом, у которого удивительным образом выросли доходы в 10 раз (говорят, что это случайно и никак не связано с приходом во властные коридоры), у нас появился в конце прошлого года еще и советник по Интернет (Герман Клименко). Возможно между двумя Интернет-радетелями начнется внутренняя конкуренция (судя по моим наблюдениям она уже началась; как минимум с одной стороны). Пока сложно сказать, что будет сделано полезного или не очень для отечественной Интернет-индустрии, но высказывания Германа Клименко по поводу иностранных Интернет-компаний и засилья Microsoft в госорганах навевает определенные мысли по поводу не самого радужного будущего иностранных ИТ-игроков в России. Но повторюсь, пока сложно делать конкретные прогнозы и выводы.
  • Продолжение сворачивания политических свобод и прав граждан. Ну тут к бабке не ходи, а это происходило в прошлом году и будет продолжаться в этом. И Интернет не минует чаша сия. Все чаще поднимаются вопросы о блокирования Интернета то на уровне отдельных протоколов (UDP или Tor), то для отдельных групп (например, для ИГИЛ). И вновь сдули пыль с очередной "нацбезопасной" идеи о том, что криптография мешает работе спецслужб и надо с этим что-то делать. То ли внедрять на уровне всей стране государственный MiTM, то ли запрещать криптографию вообще, то ли монополизировать весь рынок сертифицированных СКЗИ.
  • Несмотря на оптимизм некоторых моих коллег по поводу принятия законопроекта о безопасности критической информационной инфраструктуры, я его не разделяю. У меня немного другая информация относительно перспектив этого нормативного акта. А вот тема защиты информации в АСУ ТП, которую ведет ФСТЭК, будет развиваться. Как минимум, в части новых РД по промышленным МСЭ и антивирусам. Но может и другое что успеют принять в этом году. 
  • Доктрина ИБ должна все-таки появиться в этом году. Но дальше либо тема на этом и остановится (как было с предыдущим текстом 2000-го года), либо из нее благодатным ручьем польются новые или модифицированные нормативные акты и иные инициативы по ИБ, которые сделают задел на ближайшие годы. 
  • Про Гособлако и 261-й Указ я уже писал - повторяться не буду. 
  • С административной реформой пока тоже ничего не понятно, хотя разговоры идут. Примерно такие же разговоры в свое время шли про ФСТЭК, Минкомсвязи и другие госорганы. Но они уцелели. Другие, правда, не выжили. Так что все возможно. В уменьшение числа чиновников, числа министерств и ведомств, числа надзорных функций я верю с трудом, но вдруг здравый смысл возобладает и бизнесу все-таки дадут развиваться, а на загибаться.
  • ЦБ, НСПК и некредитные организации. ЦБ продолжит взятый курс на усиление роли ИБ в деятельности кредитных организаций (новые РС в рамках СТО БР ИББС), некредитных организаций (свои версии СТО БР ИББС для них), для платежных систем (выйдет новая версия 382-П) и для НСПК. Для последней начаты работы по переводу ее (и карты "Мир") на отечественные крипторельсы.
  • ГосСОПКу будут развивать с той или иной степенью успешности. Но победоносного шествия ее ждать не стоит - с такой организацией процесса будет полная неразбериха. Как минимум. Как максимум - очередной срыв и сдвиг сроков. 8-й Центр по другому не умеет работать.
  • Кстати, о 8-м Центре ФСБ. В этом году он должен (если успеет) выпустить новые и публичные требования к СКЗИ и их сертификации.
  • Новые требования по сертификации будут и у ФСТЭК. Да и вообще ФСТЭК продолжает активную нормотворческую деятельность, как в части методической (выйдет новая редакция 17-го приказа), так и в части оценки соответствия средств защиты (будут, как минимум, приняты РД по ОС, СУБД и МСЭ).
  • Импортозапрещение продолжится, а вот импортозамещение врядли - российские продукты не выпускаются с такой же скоростью, как запрещают иностранные аналоги. Зато появится практика обоснования применения последних в отсутствие отечественных решений. Она уже появляется (сам готовил уже не одно такое обоснование).
  • С другой стороны иностранцы будут обвинять Россию в атаке всех и вся. Как обычно без доказательств, но зато с завидной регулярностью. Роль агрессора нам уготована не только в мире физическом, но и в виртуальном.
  • Китай, у которого наметилось сокращение ВВП, будет наращивать свое присутствие в странах-соседях, включая и Россию. На мой взгляд, даже если дистанцироваться от моего места работы, Китай - это основная угроза для национальной безопасности России. Неизведанная и непонятная. Совершенно иная культура, совершенно другое мышление. Я в свое время изучал восточные единоборства и помимо чисто практической стороны вопроса немало времени потратил на изучение китайской военной мудрости (Сунь Цзы - это только один, пусть и самый известный из авторов Поднебесной). Могу сказать, что тихой сапой, маскируясь за конфликтом России и США, но Китай начал свою экспансию в разных сферах, включая и информационные технологии. К счастью, мы пока не сталкиваемся с их решениями по ИБ, но вот угрозу от их ИТ-продукции мы еще ощутим в будущем. А пока, в году обезьяны (календарь нам уже втюхали :-), китайцы будут все более активно навязывать свои решения в госорганы.
  • Блокчейн... Вот тут будущее туманно. С одной стороны Сбербанк и Киви, которые активно движутся в этом направлении. С другой МинФин и Следственный комитет, которые хотят ввести уголовную ответственность за использование биткойнов. С одной стороны проявление некоторого интереса к этой теме со стороны Банка России (в Магнитогорске будет доклад на эту тему), а с другой абсолютное молчание со стороны крипто-регулятора. Посмотрим, чья возьмет.
  • На коммерческом рынке будет нестабильно. Сокращения в отечественных и иностранных компаниях будут продолжены. Кто-то из игроков не выживет - иностранцы уйдут, а "патриоты" не переживут падения курса рубля, роста стоимости нефти, снижения покупательской платежеспособности. Я про это говорил в конце 2014-го года - ситуация стала только хуже.
Пожалуй и все из ключевых тенденций, которые мне пришли в голову. Может быть что-то и забыл, а что-то может выскочить как черт из табакерки совсем внезапно. Отдельные "эксперты" заявляют о росте угрозы со стороны Интернета вещей. Полная чушь, непонимание российских реалий и слепое копирование чужих прогнозов. В России пока приходят только умные гаджеты, но не всюду и не всем они доступны. А уж в корпоративную практику эти решения у нас пока еще не вошли даже на уровне бета-тестирования. Так что можно пока дышать свободно и не бояться ни дронов, ни кофеварок, ни автомобилей, ни кардиостимуляторов, управляемых через Интернет.

ЗЫ. Вообще я не случайно затянул со своими "предсказаниями". Планировалось, что они будут даны в рамках одного из вебинаров, который должен был быть организован на уже известной и не раз меня приглашавшей площадке (точнее даже двух). Но не срослось... Поэтому выплеснул все на страницы блога.

25.01.16

Как на Инфофоруме и Рускрипто будут заниматься политической деятельностью

Согласно опубликованному в пятницу законопроекту о внесении изменений в закон о некоммерческих организациях:
  • участие в организации и проведении публичных дискуссий, выступлений
  • публичные обращения к государственным органам, органам местного самоуправления, их должностным лицам, а также иные действия, оказывающие влияние на их деятельность, в том числе направленные на принятие, изменение, отмену законов или иных правовых актов
  • распространение, в том числе с использованием современных информационных технологий, оценок принимаемых государственными органами решений и проводимой ими политики
означает, что некоммерческая организация, занимающаяся любым из этих трех видов деятельности, считается признается участвующей в политической деятельности, осуществляемой на территории Российской Федерации.

Понятно, что делается это в предверии выборов и в скором времени введут какие-нибудь новые ограничения в части занятий политической деятельностью, но... под указанные выше три пункта (в законопроекте их больше) подпадает ЛЮБОЕ мероприятие (семинар или конференция) по информационной безопасности, обсуждение и представление поправок в законодательство по информационной безопасности, а также публикация в Интернет оценок принятых нормативных актов и иных решений по ИБ, принятых ФСТЭК, ФСБ, Роскомнадзором и т.п.

Распространяется это только на некоммерческие организации, к коим среди прочего у нас относятся:

  • Автономные некоммерческие организации. Например, многие учебные центры по информационной безопасности (тот же УЦ Информзащита) являются как раз АНО.
  • Ассоциации и союзы, например, АРПП или СОДИТ.
  • Некоммерческие партнерства, например, АБИСС, НП Инфофорум или НП СИБ.
  • Общественные объединения, например, МОО АЗИ.
Вот и получается, что проводя мероприятия по ИБ, высказывания на них точку зрения на государственную политику в области ИБ или критикуя принятые нормативные акты, некоммерческие организации (к счастью, пока только они) занимаются политической деятельностью. А уж к чему это приведет, покажет время...

22.01.16

FireEye покупает iSIGHT Partners

Компания FireEye 20 января объявила о приобретении за 200 миллионов долларов компании iSIGHT Partners, занимавшейся анализом угроз (Threat Intelligence). Дополнительно акционеры iSIGHT смогут получить еще 75 миллионов при достижении к 2018-му году оговоренного определенного уровня продаж.

Меня в этой сделке заинтересовало два интересных момента. Во-первых, iSIGHT был создан Джоном Воттерсом, который ранее создал и продал Verisign'у за 40 миллионов компанию iDefense. Теперь Воттерс продает iSIGHT в 5 раз дороже. А по сути компания занималась тем же, что и раньше - исследованиями в области угроз безопасности. Будет ли у Воттерса третий заход?

А второй интересный момент - финансовое положение FireEye. Ее акции за последние полгода упали больше чем в три раза, но при этом она находит деньги на то, чтобы за 200 миллионов купить компанию, отдача от технологий которой произойдет явно не сразу.


Посмотрим, что из этого получится...

15.01.16

Где брать задания по кибербезопасности для изучения/обучения?

Чтобы уж завершить неделю на одной волне, приведу еще один интересный ресурс, который может помочь тем, кто изучает или преподает кибербезопасность и ищет не только теорию, но и различные практические задания и кейсы. Это проект Pivot, запущенный известными в мировой (преимущественно англоязычной) ИБ-тусовке. На нем планируется выкладывать бесплатные занятия по кибербезопасности, которые смогут использоваться в рамках обучения.


Проект только недавно стартовал, но уже сейчас на нем можно найти несколько интересных кейсов. Например, задание по расследованию инцидента и сбору доказательств в рамках дела о краже чучел кукольных животных и продаже их на черном рынке :-) Команда реагирования смогла собрать на компьютерах подозреваемых некоторые доказательства, которые и надо проанализировать с помощью Wireshark. Задание для начинающих и требует от 60 до 90 минут.


Вот в такой игровой форме и представлены остальные задания, имеющие аналоги и в реальной жизни. Планируется, что со временем число представленных в рамках проекта кейсов будет существенно увеличено. Возможно и вы сможете внести свою лепту в этот проект - он открыт для всех желающих.

Курсы по информационной безопасности, которые можно найти в Интернет. Часть вторая

После публикации заметки про курсы по ИБ, которые можно найти в Интернет, мне пришло много комментариев, в которых коллеги приводили новые интересные ссылки или спрашивали, почему я ничего не пишу про онлайн-обучение. Исправляюсь :-)

Многие слышали про платформу для онлайн-обучения Coursera, на которой выложено и некоторое количество курсов по информационной, или как любят говорить иностранцы, кибербезопасности. Введя это ключевое слово, мы получим 77 ссылок на курсы, подготовленные преимущественно американскими ВУЗами - Мэриленда, Вашингтона, Принстона и других.


У Coursera, помимо всех ее достоинств, есть и недостатки. Многие курсы доступны только по записи. Иными словами вы не можете слушать их, когда хотите вы. Вы должны записаться и проходить программу обучения в соответствие с определенным расписанием. Это не всегда удобно, хотя и дисциплинирует. Аналогичный "минус" и на других обучающих онлайн-площадках.

Лично меня этот минус и отталкивает всегда от онлайн-обучения. Лекции из предыдущей заметки я могу скачать и читать тогда, когда мне заблагорассудится. С онлайн-обучением по расписанию хочешь-не хочешь, а будь добр посещать "лекции", чтобы ничего не пропустить. С другой стороны, есть люди, которых можно заставить учиться только пинком под зад. И в этом случае расписание этому способствует. А в зависимости от онлайн-площадки лекции могут сопровождаться домашними заданиями (чего почти не бывает на свободных лекциях), экзаменами, курсовыми проектами, которые еще и защищать надо. Это более серьезный шаг к обучению.

Еще одной площадкой, где можно пройти обучение по ИБ, является Udemy. На ней есть и платные курсы, и бесплатные. И их больше, чем на Coursera - поиск выдает почти две сотни ссылок. Хочу отметить, что курсы эти совершенно различные - от общеобразовательных до специфичных. Например, безопасность Wordpress или реверс-инжиниринг и разработка эксплойтов.


Третья онлайн-площадка для обучения по информационной безопасности - Udacity. Курсов по нашей теме не так много, но они есть. А вот на edX я нашел только один курс, но очень специфичный - по кибервойнам. Сводным каталогом по всем популярным онлайн-площадкам служит class-central, на котором можно найти курсы по ИБ и на других Интернет-ресурсах. Хотя, надо признать, что основной площадкой является именно coursera - там наиболее число курсов по кибербезопасности.


Завершить подборку иностранных площадок мне хотелось бы центром мониторинга и реагирования на инциденты ИБ в промышленных сетях - ICS-CERT, который предлагает два онлайн-курса по промышленной ИБ:
Из российских площадок хочется вновь упомянуть ИНТУИТ, но уже не в контексте курса Галатенко. На этой онлайн-площадке представлено около 40 совершенно разноплановых курсов - от Инфовотч и Лаборатории Касперского до курсов, разработанных ВУЗами и прочто частными лицами. Курс Галатенко по основам ИБ является самым популярным и вдвое обходит "конкурентов" по числу голосов.


Еще одна площадка с открытыми лекциями - это "Лекторий МФТИ", где есть и курс из 14-ти лекций по защите информации (преимущественно по криптографии). Завершу обзор ресурсом, на котором выложены курсы по ИБ, которые читаются в МГУ. Лекции интересны тем, что рассматривают не только основы ИБ и криптографии, но и многие другие, практические и нечасто вспоминаемые темы - TOR, "луковичную маршрутизацию", безопасность приложений и т.п.

14.01.16

Роль сожаления в процессе принятия ИБ-решений

Продолжая применять результаты исследований Халлинана к ИБ хотелось бы вернуться к процессу принятия решения. Я полтора года назад уже писал о том, неопределенность в принятии решения останавливает многих чиновников сказать "да" тому или иному проекту или нормативному акту. И вот новое подтверждение этого явления, но немного с другой стороны.

Халлинан пишет о том, что при принятии решений огромнейшую роль играют эмоции и, в особенности, такая эмоция, как сожаление. О чем-то мы сожалеем больше, о чем-то меньше. И оказывается, что люди чувствуют бОльшую ответственность за действия, чем за бездействие. Поэтому, если уж суждено ошибиться при принятии решения (а неопределенность увеличивает вероятность ошибки еще больше), лучше вообще не сделать чего-то, чем сделать это неправильно. Люди чувствуют себя менее ответственными за результат, если они ничего не делали.

Логика "лучше ничего не делать, а то кабы чего не вышло" нередко преследует и регуляторов от ИБ, боящихся сделать что-то, за что их потом будут критиковать и ругать направо и налево. Кстати, в ту же ловушку сознания попадают и те, кто критикует регуляторов, но сам ничего не делает для улучшения ситуации. Критиковать проще - за это не будут ругать. В отличие от ситуации, когда посоветовал что-то и автоматически "встал" на сторону регулятора.

Ретроспективное искажение и ИБ

На новогодних праздниках читал интересную книжку "Почему мы ошибаемся" Джозефа Халлинана, в которой автор рассматривает различные ловушки мышления в реальной жизни.


Одной из таких ловушек является так называемый ретроспективный детерминизм или ретроспективное искажение, заключающееся в том, что на восприятие и запоминание человеком прошедших событий (даже совсем недавно прошедших) чрезвычайно сильно влияет знание того, как все произошло в действительности. Мы уже знаем, чем все закончилось, поэтому воспоминания об этом событии и о том, что ему предшествовало изменяются.

Например, если на сайт банка происходит DDoS-атака, то в зависимости от результата этой атаки, наши воспоминания будут иметь совершенно разную картину. Если атака не привела к негативному эффекту, то мы будем преувеличивать свою роль в противодействии этой атаке. В случае же "успешности" атаки, мы будем стараться подчеркнуть одни факты (играющие нам на руку) и игнорировать другие (играющие против нас).

Множество различных исследований, о которых пишет Халлинан, показали, что люди не только склонны преувеличивать то, что им было известно в тот или иной прошедший момент времени, но и то, что они вообще часто неверно помнят, что они тогда знали. Особенно если оказывается, что тогда они ошибались.

Управлять этим, особенно в отношении себя, достаточно сложно. Но знать все равно полезно. Особенно при расследовании инцидентов.

Конференции по безопасности онлайн

Позавчера Сергей Борисов опубликовал заметку о видеоматериалах с российских конференций и семинаров по ИБ. Я решил дать ссылку на аналогичный сборник иностранных, англоязычных ресурсов. Там есть материалы с Chaos Communication Congress, BSides, DEFCON, Black Hat, OWASP AppSec, RSAC, Cisco Live и других. Неплохая подборка.

ЗЫ. Со Старым Новым годом, коллеги! Это не последнее празднование Нового года в этом году :-) Впереди нас ждет их еще как минимум два - китайский (в феврале - обезьяны) и в марте (старославянский - ужа).


13.01.16

Курсы по информационной безопасности, которые можно найти в Интернет

Относительно недавно Массачусетский технологический институт выложил в Интернет лекции со своих дисциплин и курсов, читаемых в MIT. Было среди них и пять курсов, посвященных "нашей" теме:
  • Network and Computer Security. Автор этого курса - Роналдь Райвест, тот самый, который входил в тройку, чьи первые буквы фамилий составили аббревиатуру RSA. На самом деле курс посвящен только криптографии, а не информационной безопасности (у иностранцев эти две темы, как и у нас, собственно, четко разделяются). Курс свежий - 2014-го года. Хотя ничего нового в нем нет; разве что лекция по биткойнам. 
  • Computer Systems Security. 23 лекции (есть и видео по ним) по различным аспектам ИБ - песочницы, защита Web, отслеживание данные, защита мобильных телефонов, экономика ИБ и т.п. Несистемно, но есть интересные вещи.
  • Cryptography and Cryptanalysis. По описанию - базовые понятия криптографии и криптоаналиса. Сами лекции не выложены.
  • Advanced Topics in Cryptography. Продолжение предыдущего курса (лекции выложены), почти целиком посвященное разным аспектам доказательств с нулевым разглашением.
  • Selected Topics in Cryptography. Курс по сути посвященный двум темам - криптографическим протоколам и электронному голосованию с теоретической и практической точек зрения.
Речь идет не об отдельной дисциплине по ИБ как у нас, а о спецкурсе в рамках специальности, на которой учат "айтишников". То есть глубокого погружения в те или иные вопросы ИБ не предусмотрено. Основная задача - дать базу и общее понимание принципов. Для детального изучения различные ВУЗы предлагают либо дополнительные дисциплины, либо специальные тематические семинары.

Помимо MIT свои курсы по ИБ выкладывают и другие образовательные учреждения. В частности беглый поиск по Интернет выдает следующие варианты:
Многие университеты выкладывают свои курсы на Coursera. Например, Computer Security. Стэнфордский курс по безопасности ПО. Немало курсов на Coursera выложили Мэриленд, Принстон, Вашингтон и другие.

Я попробовал поискать такие же материалы на сайтах российских ВУЗов. Что-то есть, но сказать, что по этому направлению ведется целенаправленная работа, не могу. Ведущие (которые себя называют такими) ВУЗы по данной теме ничего не выкладывают. Из найденного:

12.01.16

О надзорных мероприятиях в 2016-м году


По итогам нескольких вчерашних твитов о проверках РКН хочу сделать отдельную заметку, посвятив ее всем надзорным мероприятиям по "нашей" теме в 2016-м году. Итак, у нас есть три основных регулятора - ФСТЭК, ФСБ и РКН, каждый из которых проверяет требования в рамках своей зоны ответственности.

  1. РКН с 1-го сентября 2015-го года вышел из под действия ФЗ-294 и теперь не обязан публиковать никакого сводного плана проведения проверок по линии персональных данных (только они выведены из под действия ФЗ-294). Единственным документом, устанавливающим обязанность проводить проверки по плану и публиковать этот план, является Административный регламент РКН, утвержденный 312-м приказом Минкомсвязи от 14.11.2011. В нем, в частности, говорится (в п.30-31), что территориальные органы должны на своих сайтах опубликовать планы проверок по своим территориям. Об этом говорится и в сообщении РКН от 31-го декабря.

  2. Территориальные органы опубликовали такие планы на своих сайтах. Например, по ЦФО такой план опубликован в декабре. Обратите внимание на сопутствующие приказы, которые могут вносить изменения в уже утвержденный план. Например, в той же Москве некоторые изначально внесенные в план организации были исключены спустя две недели другим приказом РКН.

  3. ФСТЭК и ФСБ попадают под действие ФЗ-294 и поэтому должны публиковать свои планы проведения проверок. На сайте ФСТЭК пока еще не выложен сводный план проверок на 2016-й год, но зато он уже доступен через сайт Генеральной прокуратуры. 

  4. Проверки ФСБ тоже отсутствуют на сайте ведомства, но присутствуют на сайте Генпрокуратуры.

  5. У РКН запланировано около 1000 плановых проверок и 2000 мероприятий систематического наблюдения. У ФСТЭК проверок не так много - около двух сотен. У ФСБ и того меньше - сайт Генпрокуратуры показывает всего 11 проверок.

  6. ФСБ проверяет государственные учреждения. ФСТЭК также преимущественно госов, а также лицензиатов. РКН проверяет всех подряд - и госов, и коммерсантов.



Есть еще один сайт, публикующий сводный план проверок в соответствие с ФЗ-294, - proverki.gov.ru. Он поддерживается Генеральной прокуратурой и, по идее, должен совпадать по содержанию с тем, что выдается сайтом genproc.gov.ru. Однако это не так - данные в них не совпадают :-( Возможно сайт proverki.gov.ru находится еще только в процессе наполнения.





11.01.16

Дайджест новостей по ИБ за новогодние праздники

Уже по традиции выкладываю краткий дайджест новостей по ИБ, произошедших за новогодние праздники (если кто-то все две недели валялся тюленем и не отслеживал происходящее):
  • Утверждена новая Стратегия национальной безопасности. За ней должна последовать и Доктрина ИБ. В Стратегии говорится и про киберугрозы, но не могу сказать, что много. Материал в этой части изложен не системно - основное внимание уделяется традиционным угрозам. При этом тот же Китай, вторым после США, создал отдельный род войск - кибервойска, о чем также было сообщено за эти две недели.
  • СБУ Украины обвинила ФСБ в кибератаке на энергообъекты Украины и запуске в них вредоносного кода. Краткий и предварительный анализ этого вредоносного кода также уже выложен в сети. С атрибутикой там плохо. Но про роль России в кибератаке на энергосистему Украины говорили на праздниках много. Конечно же иностранцы.
  • Проукраинская хакерская группа RUH8 опубликовала сотни тысяч украденных SMS россиян. Именно украденных, так как, скорее всего, речь о краже SMS через затрояненные смартфоны на базе Android.
  • Президент Путин подписал указ о сокращении в ряде ведомств, в том числе и ФСТЭК.
  • Президент Путин подписал закон об административной ответственности за нарушение "закона о забвении". С этим законом вообще странная ситуация - такая норма уже заложена в закон о персданных и КоАП. Правда сумма штрафов там смешная была, в отличие от нового закона.
  • Турецкие хакеры взломали Instagram главы Минкомсвязи Никифорова. Тот пожаловался в службу поддержки и ему... в течение нескольких часов не отвечали. Министр сразу же пожаловался в "ВКонтакте", что надо что-то с Instagram'ом делать. Видимо министр никогда в праздники не писал на сайт собственного министерства, да и вообще любого российского ведомства или компании. В абсолютном большинстве случаев ситуация аналогичная.

  • Два секретоносителя из разных государств, президент Эстонии и руководитель отдела кибербезопасности Минобороны Латвии, сочетались браком. Совет да любовь! А вот с точки зрения законодательства о гостайне этот союз очень интересен :-)
Вот и все новости :-)

30.12.15

[ВИДЕОПОЗДРАВЛЕНИЕ] С наступающим Новым годом!

Ну вот и подошел к концу 2015-й год. Думаю, что это моя финальная заметка в нем и завтра я уже не буду донимать вас своими размышлизмами и новостями из мира информационной безопасности. Этот год был непростым, но насыщенным. 80 с лишним перелетов, 128 дней в командировках, 240 заметок в личном, корпоративном блоге и на Хабре, 25 статей в журналах, около 100 выступлений, 40 записанных роликов на личном и корпоративном каналах YouTube. Так он выглядел лично для меня с точки зрения того, чем я занимаюсь и чем мне нравится заниматься. Надеюсь, что следующий год будет тоже интересным и не менее насыщенным (только вот командировок надо бы поменьше :-)



ЗЫ. У нас в компании мы тоже записали новогоднее поздравление от команды по ИБ Cisco :-)

29.12.15

Краткие итоги года уходящего в контексте отечественной ИБ

29-е декабря... Резать оливье на стол еще рано. Самое время подводить итоги года уходящего и свести воедино те тенденции, которые по моему мнению были отмечены в России, Пожалуй, самое главное наблюдение, которое я сделал по итогам года, - это наличие некоторой передышки в нашей отрасли. Ничего неординарного не происходило и сделанные мной в декабре 2014-го года прогнозы в иллюстрациях Васи Ложкина в целом оправдались. Если же коснуться частностей, то я выделил бы следующее:

  • Сноуден где-то админит (вот так и в АНБ он админил по-тихому) и уже мало кому интересен. Я все больше склоняюсь к мысли, что во многом это был чей-то проект, чем реальная утечка секретных данных. Если критически оценивать все, что наговорил Сноуден, то либо его откровения уже были известны, либо к моменту опубликования "сенсации" устарели, либо вовсе не подтвердились, оттянув зато на себя усилия исследователей.
  • Регуляторы мало что выпустили из новых нормативных и нормативно-правовых актов. Мы реализовывали то, что было сделано ФСТЭК, ФСБ и ЦБ в 2014-м году. ФСТЭК вообще ничего не выпустила, готовясь к "наступлению" в следующем году, когда свет увидит и новая редакция 17-го приказа и ряд других документов. ЦБ только ввел в действие новую редакцию 382-П и пару новых РС - остальное также планируется в 2016-м году. И только ФСБ успела порадовать своей малоприменимой обычными операторами ПДн методичкой по моделированию угроз ПДн и новыми, но закрытыми требованиями к СКЗИ.
  • Тема SDLC, так активно начатая в 2014-м году, постепенно отошла на задний план. Разработка ГОСТ по безопасной разработке практически завершена, но до ее принятия еще не менее года. Планы ЦБ по выработке требований по оценке соответствия банковских и платежных приложений пока неясны и, видимо, как и в случае с FinCERT, будет задержка с их реализацией.
  • А вот тема государственных CERTов стрельнула. Это и ЦБшный FinCERT, и ФСБшная ГосСОПКА. О них говорили много и подробно и в следующем году эта тенденция сохранится.
  • РКН в теме персональных данных не сильно светился, сконцентрировав свои усилия на закручивании гаек в Интернет. Оно и понятно. 242-ФЗ был принят, но ему надо было дать "прижиться" в России. Вот в следующем году тема ПДн с практической точки зрения (проверки) должна вновь выйти на первые полосы. Пока же РКН только запугивал операторов ПДн, преимущественно иностранных и их Интернет-отрасли. В никакой серьезной нормотворческой деятельности по "нашей" теме РКН замечен не был. Как и в защите прав субъектов ПДн тоже не сильно преуспел.
  • Импортозапрещение на марше и продолжает наращивать свой потенциал. Правда, 2015-й год также прошел в некотором ожидании. Власти делали много популистских заявлений, но никаких конкретных действий по поддержке отечественной ИТ/ИБ-индустрии не предпринимали и только в конце года приняли ряд нормативных актов по ограничению приобретения иностранных технологий при госзакупках. Заказчики тоже были в ожидании - то ли запреты отменят, то ли иностранные продукты запретят окончательно. В следующем году им придется принимать уже какие-то решения. Отечественные производители же постарались в этом году форсировать свои разработки и выпустили на рынок множество обновленных (местами серьезно) продуктов. Иностранным игрокам (причем всем) становится тяжелее и кто-то даже уходит с рынка или начинает сокращать персонал. В следующем году эта тенденция усилится.
  • Тема безопасности критических инфраструктур не взлетела и, как я уже писал, скорее всего не взлетит.
  • Продолжилось урезание свобод простых граждан и юридических лиц, зачастую подаваемое под соусом борьбы с терроризмом. Не стану говорить, что этой проблемы (терроризма) не существует, но временами под этим флагом проводились немного не те законы и вводились не те ограничения. Думаю в следующем году ситуация продолжит нарастать (это общемировая тенденция).
  • Начались разговоры о централизации государевых ИТ-активов. Тут и вам и "гособлако", и единый выход в Интернет через ФСО. Как это все будет реализовано станет понятно дальше.
  • Начали писать новую Доктрину ИБ, но опять в полузакрытом режиме и что будет на выходе, и когда, совсем непонятно.
  • Вопреки отдельным заявлениям, рынок ИБ в финансовом исчислении стагнирует. Непростая экономическая ситуация, скачки на валютном рынке и падение цен на нефть приводят к тому, что в стране с сырьевой экономикой на инновации денег начинают тратить меньше. Это заставило многих игроков пересмотреть свои подходы по продвижению решений, а заказчики стали более осмотрительно тратить свои бюджеты. Цены, несмотря ни на что, возросли. Кто-то это связывает с уменьшением конкуренции; кто-то с падением цены на нефть; кто-то с падением курса рубля. Но результат налицо - даже отечественные игроки подняли цены на свою продукцию или сделают это в самое ближайшее время. Зато возросло число стартапов по ИБ, которые пытаются лавировать между различными препонами и найти для себя возможности для закрепления в этой непростой сфере. 
  • Активного перехода на сервисную модель в ИБ пока не произошло, хотя о ней говорят все чаще. Думаю, что все просто были в ожидании лучшего, которое пока так и не наступило. И переходный период постепенно заканчивается, заставляя всех пересматривать свои стратегии развития, в том числе обращаясь к аутсорсингу, облакам и иным способам переложить ряд ИБ-функций на чужие плечи.
  • Нестабильность будущего приводит к жестким конкурентным войнам, не всегда честным. Фраза "только бизнес - ничего личного" все чаще ставится в главу угла. Компании с отсутствием четко очерченного будущего и живущие сиюминутными потребностями начинают метаться, делая хаотические движения и заявления, временами гадя своим же бывшим партнерам и контрагентам. "Каждый за себя" - таким был девиз для некоторых интеграторов, производителей и поставщиков ИБ-услуг.
  • Изменения на рынке труда тоже идут достаточно активно. Кого-то увольняют, кто-то уходит сам, у чьего-то работодателя отзывают лицензию, кому-то сокращают зарплату... Но это была прогнозируемая ситуация, которой кто-то смог воспользоваться, а кто-то нет.

Вот такой short-лист того, что я бы хотел отметить в уходящем году. Эти же моменты будут влиять и на год наступающий, но про прогнозы я буду поговорю отдельно, посвятив им отдельную заметку, а может быть даже и видео-презентацию.

Планы Правительства на год грядущий

Правительство опубликовало план своей законопроектной деятельности на 2016-й год. 57 законопроектов должно подготовить Правительство за 52 недели следующего года. По "нашей" теме там всего 3 пункта:
  • Введение административной ответственности за нарушения при выдаче простой электронной подписи. С этой темой сталкиваюсь редко, поэтому прокомментировать не могу.
  • Внесение очередных изменений в закон "О связи", что знающие люди характеризуют как очередную попытку государства что-то запретить или закрутить гайки в Интернет.
  • Внесение изменений в ФЗ-152 "О персональных данных" и вот эта поправка, внесение которой в Госдуму запланировано на июнь этого года, вызывает мой живейший интерес. 
Называется этот законопроект "О внесении изменений в Федеральный закон "О персональных данных" в части наделения федерального органа исполнительной власти полномочием по установлению порядка осуществления государственного контроля за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных". Если вдумчиво прочитать это длинное название, то получается, что про проект Постановления Правительства, о котором я писал в мае, можно забыть и в Правительстве решили не сильно заморачиваться, просто дав право самому Роскомнадзору определять свои права и обязанности.

По сути ровно это сейчас и происходит - РКН работает по своему Административному регламенту, а проект Постановления Правительства его повторял по многим пунктам. Видимо решили не дублировать и исключить лишний нормативно-правовой акт. Иных причин для внесения в ФЗ-152 я не вижу - про надзор там и так написано, а переписывать в текст ФЗ весь проект Постановления Правительства никто не будет. Так что ждем очередных новаций... 

Остается только один вопрос - насколько законно проведение проверок РКН с 1-го января в отсутствие Постановления Правительства, которое должно было прийти на смену ФЗ-294 и из под которого РКН вышел с 1-го сентября 2015-го года?

28.12.15

О планах ФСТЭК по нормотворчеству

Недавно ФСТЭК опубликовала выписку из плана своей нормотворческой деятельности на 2016 год и, и в году прошлом, у представителей отрасли посыпались вопросы: “А почему в плане нет, того о чем говорил Лютиков в феврале?”, “А где документ такой-то?”, “А почему план такой куцый?” На мой взгляд ответ очевидный - лучше пусть поощрят за перевыпуск документов, чем накажут за невыполнение плана. Поэтому многих документов в плане просто нет, а сами документы при этом находятся в достаточно высокой степени готовности. Возьмем, к примеру, руководящие требования по сертификации. В плане ФСТЭК упомянуто только три таких документа, имеющих в условиях импортозапрещения первоочередное значение - требования к операционным системам, базам данных и обновленный документ по межсетевым экранам. Но в нем, например, нет требований к антивирусам для промышленных систем и требований для промышленных МСЭ. А они уже готовы.

Планируемые руководящие документы ФСТЭК (по публичным данным)
Вторая причина “куцести” плана в том, что он касается только нормативно-правовых актов. Те же методические указания не относятся к этой категории и поэтому в плане не числятся.

Планируемые методички ФСТЭК (по публичным данным)
Ну и наконец третья причина заключается в том, что часть документов уже разработана и отправлена в Минюст на согласование, например, по защите от утечек по техническим каналам. Поэтому их нет смысла указывать в плане на год грядущий (в плане на год уходящий их также не было).
Планы ФСТЭК по защите от утечек по техническим каналам (по публичным данным)

О новых требованиях ФСБ к СКЗИ

Из нескольких источников довелось мне услышать о новых требованиях ФСБ к средствам криптографической защиты, выпущенных относительно недавно. Как обычно документы непубличные и в полном объеме их мало кто видел (как обычно - выписки из выписок). Сразу скажу, что я их тоже не видел и поэтому просто пересказываю появившиеся новации, о которых будут рассказывать на грядущей “РусКрипто”, и о которых стоит как минимум знать, входя вооруженным знанием в год гримасничающего животного.


Но для начала давайте вспомним, как СКЗИ сертифицировались раньше? Все было очень просто. Были самостоятельные средства криптографической защиты, были библиотеки, и были средства шифрования в конкретной среде функционирования, когда оценивался сразу целый комплекс факторов (нечто сродни аттестации). Большинство использовало либо криптопрошные библиотеки, встраивая их в свои решения, либо применяло уже готовые программные или программно-аппаратные средства шифрования.

Но в конце 2013-го года произошел некоторый сдвиг и в 8-м Центре решили поменять парвила игры, мотивируя это тем, что многие нарушают правила использования криптобиблиотек (++я про это писал++), не согласовывая их встраивание в свои продукты и продвига их при этом как вполне легальное средство защиты информации криптографическими методами. Поэтому 8-й Центр объявил о том, что он прекращает сертификацию криптобиблиотек. Сказано - сделано. Криптобиблиотеки больше не сертифицируются и больше нельзя встроив ее в какую-либо прикладную систему, считать решение соответствующим законодательству (там, где требуется именно оценка соответствия в форме обязательной сертификации).

И вот новый шаг, который делает 8-й Центр, видимо, под влиянием внешней геополитической ситуации, а также роста различных угроз. ФСБ будет теперь сертифицировать СКЗИ только в контексте среды функционирования. Вот хотите вы поставить криптошлюз на виртуальную платформу, будьте добры сертифицировать и ее тоже. Хотите вы в промышленный контроллер вставить плату шифрования, будьте добры подавать на сертификацию весь контроллер. По сути, речь идет о гораздо более сложной форме оценки корректности встраивания, которая раньше применялась к криптобиблиотекам, а сейчас сразу к целому продукту.

Это был краткий пересказ очередных изменений, вышедших из под пера 8-го Центра ФСБ. Можно было бы сказать, что речь идет о серьезном ужесточении процесса сертификации СКЗИ и еще большем сокращении и так небольшого числа сценариев, где возможно было применения сертифицированной криптографии. Но делается это, как очевидно, в интересах национальной безопасности и роста обороноспособности страны. Мы же не будем отрицать, что число террористов и экстремистов, да и просто недругов России, возрастает. Вот это асимметричный ответ на растущую угрозу.

Возможно я неправ и только сгущаю краски… Допускаю такой вариант. Все-таки документов, о которых идет речь, пока никто не видел и приходится довольствоваться слухами. Тем же, кого эта тема действительно интересует, я могу порекомендовать посетить РусКрипто 2016, на которой представители 8-го Центра планируют приоткрыть завесу тайны и рассказать, в каком же направлении будет двигаться перо (так и хочется добавить “гусиное”) одного из регуляторов рынка ИБ, роль которого нельзя недооценивать.