25.7.08

Очередная оценка рынка ИБ в России

Компания LETA IT-company выпустила второй отчет "Навстречу переменам: рынок информационной безопасности 2007-2008", посвященный рынку ИБ в России. У меня и к первому отчету были серьезные претензии, но видимо авторы второй версии не приняли во внимание всю ту критику, которая на них свалилась. При этом авторы смело заявляют "Первый отчет был выпущен в начале 2007 года и многие его оценки стали признанными фактами на рынке информационных технологий".

Что же меня смутило в этом отчете? Во-первых, названный объем рынка в 912 миллионов долларов. Наверное, приятно причислять себя к почти миллиардному рынку, но эта цифра не просто взята с потолка, - она притянута за уши. Причем авторы противоречат сами себе. В прощлом отчете объем "белого" рынка ИБ составлял 250 миллионов; в этом - 431. При этом цифра рост объявляется в 45-50%! Как у математика (в прошлом) у меня при этих объемах такого роста никак не получается. Другая цифра - 6% всего рынка - это аппаратное обеспечение. Только мы, как один из крупнейших производителей именно аппаратной безопасности, зарабатываем в России вдвое больше. А ведь помимо нас встречаются и другие игроки (нечастно, но встречаются ;-)

Вообще приведенные цифры, кроме как гаданием на кофейной гуще не назовешь. "Белый" рынок, "черный" рынок, "серый" рынок? Как его оценивали? Откуда такие цифры? Что в них входит? Если только то, что четко называется средством защиты, то 912 миллионов - это оценка раза в 2,5-3 превышает реальность. Если речь идет даже о встроенных в инфраструктурные решения механизмах безопасности (ОС, СУБД, маршрутизаторы, коммутаторы), то емкость рынка превышает оценки LETA в разы. Правда про последний вариант LETA даже не упоминает.

Во-вторых, непонятна методика подготовки отчета и источники информации. В преамбуле сказано, что цифры взяты путем опроса участников рынка. Cisco как бы и не последняя на российском рынке (если не сказать первая по данным Cnews) ИБ, но нас не спрашивали. Это конечно не показатель, но сомнение в остальных оценках закрадывается. И вообще, почему в отчете не указаны компании, которых опрашивали? Чего скрывать их имена? Может потому, что никакого опроса и не было?

Главным разочарованием авторы отчеты называют "отсутствие роста широкого применения международного стандарта ISO 27001". А кто его вообще предсказывал, этот рост? "Эксперты" LETA? Ни один здравомыслящий специалист такого предсказать не мог. Да, интерес к стандарту есть. да, есть первые попытки сертификации. Но ни о каком широком применении необязательного стандарта речи и быть не может. Если уж авторы ссылаются на то, что пользовались данными Gartner, то могли бы посмотреть на оценки этой международной компании. А она еще пару лет назад предсказывала, что стандарты ISO 2700x выйдут на "плато продуктивности" не раньше чем через 5-10 лет.

Главной удачей рынка называется активный рост сегмента DLP. Это просто смешно. Активность Infowatch и Perimetrix на данном поприще еще не говорит о том, что рынок развит. Все DLP-вендоры вместе взятые заработали в России от силы миллионов 6-10 (LETA, правда, называет цифру в 24 миллиона). При правдивости данных LETA - это меньше процента. Интересное толкование удачи. И вообще DLP не дает покоя специалистам LETA. Почему-то они считают, что быстрый рост данного сегмента российского рынка связан с выходом документов ФСТЭК по персональным данным и выходом российских компаний на IPO и обязательным соответствии SOX. Однако 4-ка нормативных актов ФСТЭК по защите ПДн вообще ни слова не говорит про DLP-решения (даже косвенно), а IPO необязательно должно осуществляться в Америке, где и действует SOX/

Одной из главных тенденций развития угроз эксперты LETA называют угрозы для мобильных устройств. И я опять задумываюсь о том, что не стоит слепо копировать западные отчеты и надо иногда думать. Я активно езжу и в России и зарубежом и еще ни разу не столкнулся с мобильной угрозой. НИ РАЗУ!!! Мобильный Касперский у меня раз пять на смартфоне "вылез" и то по поводу неизвестного отправителя SMS. Угроза мобильных угроз очень сильно раздута. Да, про нее нельзя забывать и через несколько лет она станет актуальной (может и в России). Но нельзя же ее называть одной из главных. Вывод о росте интереса к мобильным устройствам со сканерами отпечатков пальцев я комментировать не буду.

Интересный вывод сделан о том, что одной из важных тенденций 2007 года стал "экономический" подход при выборе и внедрении решений ИБ. Мол, многие компании научились считать стоимость своей информации и активно используют методы финансовой отдачи в проекты по ИБ. Где, кто?.. Ау?!..

Некоторые моменты отчеты вызывают недоумение и вопросы. Например, авторы почему-то ставят знак равенства между ISO 20000 и ITILv3. А ведь последний был выпущен двумя годами позже ISOшного стандарта. В отчете, датированном 2008-м годом (не ранее марта), упоминается компания Vontu, которую Symantec купил еще в прошлом октябре.

Интересно посмотреть на отчет и с точки зрения стилистики и русского языка (про орфографические ошибки, согласование падежов я вообще не говорю). Например, в начале отчета приведены главные драйверы роста рынка ИБ в России. Но по ряду из них написано, что они не являются общеприменими и скорее отражают частный случай. Какже он тогда стал драйвером роста? С удивлением узнал, что термин СУИБ вообще мужского рода; хотя всегда считал, что СУИБ, это система, т.е. она.

Из всех выводов LETA я могу согласиться только с одним - "В 2007-2008 гг. произошло усиление внимания государства к вопросам защиты конфиденциальной информации, за это время было выпущено ряд нормативных актов". Правда, чтобы сделать такой вывод, не надо обладать аналитическим умом.

Пугает меня заключение, данное в конце отчета: "Компания LETA продолжит исследование российского рынка информационной безопасности. В дальнейшем будут выпушены исследования как по отдельным сегментам, так и по рынку в целом (2009 год). LETA IT-company надеется, что эти исследования, которые компания готовит для себя, будут востребованы всеми участниками ИТ и ИБ рынка."

24.7.08

Создан экспертный совет по DLP

Сегодня прошло первое очное заседание экспертного совета по вопросам защиты от внутренних угроз ИБ. У совета есть свой сайт - http://www.dlp-expert.ru/. На сайте уже сейчас есть много полезной информации и планируется его наполнять еще больше.

О мышлении безопасников и их кругозоре

Комментарии к моей статье по легитимности контроля электронной почты выявили интересную (но неприятную) закономерность. Безопасники в массей своей не считают целесообразным соблюдать действующее законодательство, мотивируя это, как правило, двумя основными тезисами:
- я занимаюсь ИБ и все, что я делаю на благо работодателя, законно по определению, а на права рядовых сотрудников мне "с высокой колокольни"
- для скользких тем отсутствует правоприменительная практика и жесткость законов компенсируется необязательностью их исполнения.

Я с этим столкнулся еще несколько лет назад, когда преподаватели ряда ВУЗов, учащие студентов вопросам ИБ и защите интеллектуальной собственности, занимались кражей этой самой собственности и плагиатом! И ведь они не считали себя виноватыми!

Другой интересный вывод касается кругозора большинства безопасников (я сам, когда писал статью, понял, что в этой части мало подкован) в юридической плоскости. Очень многие знают профильные законы - трехглавый, "О персональных данных", "О коммерческой тайне" и т.п., но за рамки этих нормативных актов они не выходят и не думают выходить. А ведь эти законы не висят в воздухе - они опираются на Конституцию РФ, Кодексы, другие законы, в т.ч. и на европейское законодательство. И занимаясь ИБ, мы не должны забывать, что все наши действия не могут нарушать действующее законодательство.

И ситуация не движется с места... Такое я замечал много лет назад, такой подход остался и сейчас. А ведь еще Эйнштейн как-то сказал: "Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень". Это касается и безопасности, которую надо решать, привлекая знания и умения из разных областей...

23.7.08

Как русский царь завоевал весь мир!



Совершенно случайно наткнулся на фан-клуб Евгения Касперского. Почитал восторженные отзывы о ЕК, полюбовался фотографиями его встреч с детьми, посмотрел ролик с YouTube "Как русский царь завоевал весь мир"... Конечно ему не откажешь в том, что он сделал себя сам, а маркетинговая машина ЛК - одна из самых агрессивных в России, но... что-то это очень сильно напоминает времена культа личности... ну вы знаете кого...

22.7.08

О легитимности перлюстрации e-mail в целях ИБ

Существует распространеннок заблуждение о том, что в целях информационной безопасности одноименная служба имеет право перлюстрировать электронную почту сотрудников в целях поисках в них утечек конфиденциальной информации. Этому мифу подвержены, что характерно, и известные специалисты. Их точка зрения мне понятна и отчасти я ее разделяю. Действительно в целях ИБ мы должны контролировать разные каналы, по которым может утекать информация из компании.

Но помимо здравого смысла мы не должны забывать, что все наши действия должны соотноситься с буквой закона и не нарушать его. А вот это-то и происходит сплошь и рядом. К сожалению, специалисты по ИБ часто не знакомы с законодательством не только в области ИБ, но и в смежных областях, без которых их деятельность будет неполноценной. Одной из них является тайна переписки, дарованная нам 23-й статьей Конституции. Как не пыталались ее дезавуировать. И то, что на работе не может быть личной переписки, и что сотрудники не имеют права писать на работе личные письма, и что все написанное работником принадлежит работодателю, и что перлюстрация разрешена законом "О коммерческой тайне"... Но все это не совсем так.

Бурные баталии на bankir.ru, RU.SECURITY (Fido), securitylab.ru привели меня к мысли, что надо попытаться объединить все точки зрения в едином материале, что я и сделал, специально для портала bankir.ru.

Первая часть статьи опубликована тут, вторая тут, а ее обсуждении идет как на форуме, так и под самими статьями.

13.7.08

Новое Постановление Правительства по персданным

Владимир Путин подписал новое Постановление Правительства, касающееся персональных данных. На сей раз оно касается биометрических персданных. Датировано оно 06.07.2008 и имеет номер N 512 - "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".

В России такими носителями у нас пока являются паспорта, но тенденция налицо - правительство (или околоправительственные структуры) озаботилось вопросами безопасности всерьез. Сначала невыполнимые требования по персданным, теперь их развитие, спроецированное на биометрию, скоро сделают достоянием гласности требования по защите критических инфраструктур... Защищать информацию становится все сложнее, а рынок окологосударевых разработчиков, которые совсем недавно считались почившими в бозе, опять возрождается ;-(

ЗЫ. Я, например, счастливый обладатель паспорта с биометрией. По идее это дает мне преимущество при поездках за границу - в "Домодедово" и "Шереметьево-2" есть отдельный пограничный пункт для владельцев такого чуда. Правда, сколько я не летаю, это окно все время закрыто ;-(

Критические системы информационной инфраструктуры

18 мая 2007 года (в ПРОШЛОМ году) заместитель директора ФСТЭК России утвердил следующие документы по безопасности критических систем информационной инфраструктуры (возможно проекты):
- "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры"
- "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры"
- "Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры"?

Также Секретарем Совета Безопасности 08.11.2005 утвержден докумет "Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий".

Согласно этим документам Ключевые системы входят в состав следующих сегментов информационной инфраструктуры:
- системы органов государственной власти
- системы органов управления правоохранительных структур
- системы финансово-кредитной и банковской деятельности
- системы предупреждения и ликвидации чрезвычайных ситуаций
- географические и навигационные системы
- сети связи общего пользования на участках, без резервных видов связи
- системы специального назначения
- спутниковые системы для обеспечения органов управления и в спец. целях
- системы управления добычей и транспортировкой нефти, нефтепродуктов и газа
- программно-технические комплексы центров управления ВСС
- системы управления водоснабжением и энергоснабжением
- системы управления транспортом (наземным, воздушным, морским)
- системы управления потенциально опасными объектами.

По имеющейся информации в государственный реестр КСИИ, который ведет ФСТЭК, уже включено около 1200 систем. Официальный статус реестру планируется придать постановлением Правительства РФ в середине – конце 2008 г.

5.7.08

Парадокс законодательства о персданных

Интересный парадокс связан с 4-ой документов. В требованиях к защите персональных данных нет ни слова про решения по отражению утечек этих самых персональных данных (DLP). Максимум, что они упоминают - регистрацию фактов доступа к защищаемым данным... но не блокирование их утечки ;-( Поэтому заявления о том, что закон позволит предотвратить утечки баз данных из наших госструктур, операторов связи или финансовых учреждений, не более чем не соответствующий действительности PR.

2.7.08

Мобильный телефон как средство обработки персональных данных

Начнем с исходных данных. Возьмем мой смартфон Nokia E61i. В нем есть (помимо всего прочего) телефонная книжка с персональными данными моих коллег по работе, а также руководителей служб ИБ разных компаний, с которыми я общаюсь и которые работают в разных регионах нашей необъятной Родины. Число таких контактов невелико - всего 2-3 сотни. Теперь посмотрим, что это значит для меня с точки зрения закона "О персональных данных".

1. Мой телефон является ИСПДн, которую можно отнести к разряду однопользовательских.

2. Личными и семейными нуждами пользование телефона не ограничивается.

3. Класс данной ИСПДн вычисляется как функция от объема ПДн и категории ПДн. Значение объема для меня будет не 3, как можно было бы предположить (менее 1000 субъектов ПДн), а 1, т.к. эти субъекты разбросаны по разным субъектам РФ. Категория будет вторая. Таким образом, итоговый класс моей ИСПДн будет К1.

4. Что я должен сделать для защиты своей ИСПДн? Немало. Я должен:
- защищать как сами ПДн в телефонной книжке, так и все телефонные переговоры с субъектами ПДн. Причем последнее должно выполняться сертифицированными средствами криптографической защиты информации
- средства защиты моего телефона должны иметь сертификат ФСТЭК
- ПО моего телефона (как минимум телефонная книжка) должно быть сертифицировано на отсутствие недекларированных возможностей
- провести аттестацию своего телефона
- иметь лицензию ФСБ на шифрование (ведь я обязан шифровать ПДн)
- иметь на телефоне IDS, обнаруживающие аномалии
- иметь МСЭ 3-го класса
- реализовать замкнутую программную среду
- автоматически идентифицировать и аутентифицировать аппаратные составляющие моего телефона
- реализовать ролевое управление системой защиты своего телефона
- контролировать информационные потоки к системе защиты своего телефона
- очищать оперативную память после завершения работы с ПДн
- маркировать и регистрировать все печатаемые с телефона данные (а посылать на печать он умеет)
- автоматически контролировать корректность работы аппаратных частей телефона
- реализовать автоматичесую проверку на наличие ПМВ при импорте в ИСПДн всех программных средств, которые могут содержать ВП, путем проверочной их активизации в специальной изолированной виртуальной среде, моделирующей среду ИСПДн, с анализом их кода методами трассировки и отладки непосредственно во время активного состояния программных средств
- установить на телефон Honeypot
- идентифицировать и аутентифицировать вход в систему защиты, а также любую операцию управления
- регистрировать запуск/останов работы всех подсистем системы защиты
- регистрация каждой операции управления системой защиты
- установить на телефон поведенческую HIPS
- автоматически блокировать обнаруженные атаки
- контролировать целостность системы защиты, ее обновлений и компонентов
- обеспечить физическую охрану телефона
- регулярно сканировать телефон на предмет наличия в нем уязвимостей
- иметь второй телефон с копией системы защиты для ее периодического обновления и контроля работоспособности
- и еще по мелочи...

5. Что у меня все-таки реализовано:
- блокирование терминала после заданного интервала неактивности
- антивирусный контроль
- идентификация при входе в телефон по паролю условно-постоянного действия не короче 6 символов.

И как позвольте все это выполнить? А ведь у меня смартфон еще из продвинутых и я, по идее, могу на него поставить какие-нибудь защитные системы (если бы они существовали в природе). А что делать пользователям обычных телефонов?

4 документа ФСТЭК: краткий анализ. "Базовая модель угроз"

Итак коснемся третьего из рассматриваемых документов ФСТЭК - "Базовой модели угроз безопасности персональных данных". Этот стастраничный документ поражает... своим отставанием от современной ситуации лет на 10-15.

Когда я только начинал читать этот манускрипт, у меня сложилось впечатление, что все это я уже где-то читал. И действительно дойдя до конца, я понял, что процентов на 80 "Базовая модель" является творческой переработкой статей и материалов из сети Интернет, посвященных безопасности, сетевым атакам, вирусам и т.п. Правда все эти материалы были опубликованы в начале-середине 90-х годов. Чего только стоит упоминание таких современных атак, как Land, Smurf, Ping of Death и т.п.

Раздел про вирусы поражает своим интеллектом - упоминание перехвата прерывания INT 13H, как основного канала попадания вирусов в систему, рассказ о звуковых и видеоэффектах и изменении палитры экрана, замена символов при вводе, форматирование дискет (я давно не видел компьютеров с Floppy-накопителями), заражение OBJ-файлов. Как вам такая фраза из документа, датированного 2008 годом: "Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять файлы с расширением .СОМ"? Какой COM, какой DOS? О чем говорят эти люди, отвечающие в стране за информационную безопасность?

Большой раздел посвящен сетевым атакам. Все бы ничего, если бы он не устарел еще до своего опубликования. Упоминание Back Orifice, NetBus, Nuke говорит само за себя. Рассказ о том, как перехватываются данные за счет подмены адресов и уязвимостей в ARP-протоколе было бы интересным, если бы не напоминало книгу "Атака из Интернет", выпущенную в середине 90-х и выложенную в Интернет в то же время.

O современных сетевых червях, DDoS-атаках, утечках данных через IM или e-mail, обходе средств защиты, атаках на прикладном уровне в данной модели угроз ни слова. Зато полно упоминаний таких "известных" в мире ИБ компаний, как Axent, CyberSafe, L-3, BindView и т.п. Помню, когда я упоминал эти компании в своих статьих и книжке конца 90-х, я еще тогда написал, что эти компании уже не существуют т.к. были поглощены более крупными игроками рынка ИБ. Авторы документа находятся в счастливом неведении о данном факте.

Поражают знания авторов документа в области вредономных программ. Среди их носителей среди видеоадаптеров и звуковых плат, которые почему-то названы встроенным носителем информации, также указан блок питания! Почему блок питания стал не только носителем информации, но и носителем вредоносного ПО я так и не смог понять. Видимо это результат закрытых исследований, проводимых уважаемым регулятором.

Что еще сказать про этот документ? В общем-то и нечего ;-( Упомянутые факты говорят сами за себя.

4 документа ФСТЭК: краткий анализ. "Основные мероприятия по защите персональных данных"

Как вы знаете ФСТЭК разработал 4 документа по защите персональных данных, самым интересным из которых является документ «Основные мероприятия по защите персональных данных, обрабатываемых в информационных системах персональных данных». Именно в данном документе описываются конкретные технические меры защиты применительно к информационным системам, классифицированным в соответствие с ранее принятым «Приказом трех».

Проанализировав данный документ, был разработан Video-on-Demand, подробно рассматривающий мероприятия, которые должны будут выполнены.

VoD расположен на сайте Cisco.

Длительность VoD: 1 час 28 минут

ЗЫ. Данный VoD не является официальной позицией компании Cisco, а описывает личную точку зрения автора VoD, т.е. меня.