25.2.10

Очередная провокация на РусКрипто

В прошлом году секция, которую я модерировал на РусКрипто, а также само мое выступление вызвало неоднозначную реакцию у отдельных руководителей отдельных фирм, занимающихся ИБ. Они же привели к появлению disclaimer на блоге. И вот вновь грядет очередная РусКрипто, где я вновь взялся за секцию "Правда и вымысел о технологиях информационной безопасности". Пройдет она в пятницу, 2-го апреля (сама конференция будет идти с 1-го по 4-е апреля).

В моей секции будут следующие доклады:
  • Мифы виртуализации - Мария Сидорова, главный редактор VMwareSecurityGroup.ru
  • Чем закончился DLP hype - Владимир Иванов,  Заместитель директора департамента эксплуатации Яндекс
  • Заказной тест на проникновение – механизм обеспечения ИБ? - Василий Томилин, ведущий специалист Cisco
  • Заблуждения банковской безопасности - Алексей Лукацкий.

ЗЫ. Для отдельных одаренных граждан сразу пишу, что я выступаю не от имени своего работодателя.

    24.2.10

    Очередной законопроект по части ПДн

    В Госдуму внесен проект закона, предоставляющий судебным приставам широкое право доступа к персональным данным. Автором проекта выступил глава думского комитета по конституционному законодательству и госстроительству Владимир Пликин.

    Текст законопроекта...

    23.2.10

    Какой из тебя защитник?!

    Коллеги! Позвольте от своего лица и от лица компании Cisco поздравить вас с Днем защитника Отечества! Специально для вас мы подготовили небольшую виртуальную игру «Какой из тебя защитник?». Присоединяйтесь!

    20.2.10

    Они принимают российские законы

    19.2.10

    Моделирование угроз (часть 5)

    Пятая, заключительная часть курса по моделированию угроз


    Ну вот и все ;-)  Надеюсь, что информация была и будет полезна в реальной работе.

    ЗЫ. Думал еще выложить курс по персданным, но он бессмысленен без голосового сопровождения.

    ЗЗЫ. Добавил возможность скачивания всех пяти частей. В один большой файл помещать не буду - муторно и могут быть проблемы с закачкой такой большой презы.

    18.2.10

    Моделирование угроз (часть 4)

    Четвертая часть курса по моделированию угроз

    17.2.10

    Моделирование угроз (часть 3)

    Третья часть курса по моделированию угроз

    16.2.10

    Моделирование угроз (часть 2)

    Часть 2 курса по моделированию угроз

    15.2.10

    Моделирование угроз (часть 1)

    Перед новогодними праздниками пришла мне в голову идея, что надо больше нести света в массы ;-) А то все критика, да критика. Вариантов такого света было немало, но начать я решил с выкладывания в свободный доступ курса по моделированию угроз, который я читал в прошлом году в некоторых учебных центрах. И вот настал момент такой (с) Али-Баба и сорок разбойников

    Ввиду большого объема презентации (400 слайдов), курс разбит на 5 частей - как раз получается на всю рабочую неделю. Это последняя версия, которую я читал. Я планировал внести туда еще ряд нововведений, но в связи с отсутствием заказов на его чтение, я эту задачу пока отложил.

    12.2.10

    Наши юристы - это что-то

    До чего меня иногда умиляют наши известные юридические конторы... Недавно получаю письмо от "Пепеляев, Гольцблат и партнеры" о предоставлении ими услуг в области юридической проработки вопросов соответствия ФЗ-152. А в самом предложении куча фактографических ошибок - это и указание аттестации, и получение лицензии ФСТЭК, и множества других несуразиц, которые простительны технарям, но совершенно непростительны солидной юридической конторе.

    И вот очередной ляп. Наш министр связи выдал очередную инициативу о том, чтобы приравнять адрес электронной почты гражданина к номеру паспорта. Видимо у г-на Щеголева всего один адрес e-mail, что он предлагает такое. Лично у меня их четыре, а уж создать себе еще сотню адресов - раз плюнуть. Я уже комментировал эту идею и сейчас дело в другом. Инициатива Щеголева была прокомментирована очередным именитым юридическим агентством - "Барщевский и партнеры". И вновь я удивляюсь, как же они читают законы, что могут заявлять, что раз e-mail не упомянут в ФЗ-152, то он не может служить идентификатором гражданина. "В огороде бузина, а в Киеве дядька", примерно так можно сказать про это высказывание юристов "Барщевского". Номер паспорта тоже не прописан в ФЗ-152, но это не мешает считать его идентификатором гражданина. А с другой стороны, e-mail упоминается в ФЗ-152 косвенно, т.к. в ряде случаев эта информация позволяет идентифицировать гражданина.

    Рекомендации по ПДн от Банка России и АРБ

    Рекомендации по ПДн имени ЦБ\АРБ, о которых я уже писал, выложены на сайте ABISS. К этим документам относятся:
    • новая редакция стандарта Банка России СТО БР ИББС-1.0-2010
    • методика оценки соответствия СТО
    • отраслевая модель угроз ПДн
    • рекомендации по приведению в соответствие.

    Эти же документы выложены и на сайте АРБ (три тут и один тут).

    Если у вас будут комментарии, предложения, замечания, то присылайте их либо в АРБ, либо в ABISS.

    11.2.10

    Блог только для зарегистрированных ;-(

    После вчерашнего массового сплога (spam over blog, splog) я принял решение об автоматическом  блокировании всех анонимных комментариев ;-( Если на первых порах в блоге не было никакого спама, то со временем его число стало возрастать. Правда, он ограничивался только старыми сообщениями, двух и более недель давности. Но вчерашний случай показал, что спамеры стали более активны и немудрено - блог посещает около 600 человек ежедневно. Это, наверное, интересная аудитория для спамеров.

    Резюмирую: теперь на блоге комментарии могут оставлять только зарегистрированные пользователи (OpenID тоже подходит).

    Конференция Клуба ИТ-директоров Удмуртии

    Пригласили меня на Конференцию Клуба ИТ-директоров Удмуртии 25-го февраля в Ижевске. За небольшим исключением, выступать я буду почти весь день ;-) В качестве тем для выступления мы с организаторами выбрали следующие:
    • Архитектура и стратегия ИБ: план действий на 3-5 лет вперед
    • Финансовые модели оценки ИБ
    • Измерение эффективности ИБ
    • Подводные камни ФЗ-152 или как сэкономить на приведении себя в соответствие.

    ЗЫ. Если будете проездом в Ижевске, то заходите ;-)

      10.2.10

      Что будет интересным в ИБ ближайшие 5-10 лет?

      За последний год меня часто спрашивали будущие выпускники ВУЗов и аспирантур о том, какую тему выбрать им для своего диплома/диссертации, какие направления информационной безопасности наиболее актуальны сейчас и будут востребованы в будущем. Предвидя, что такие вопросы и дальше будут продолжаться, я решил аккумулировать в данной заметке ключевые направления исследований в области ИБ, над которыми сейчас бьются лучшие умы отрасли. Но чтобы не быть голословным, я буду опираться также на отечественные и американские (в первую очередь) документы, описывающие направления развития отрасли на ближайшие годы.

      Далее на Компьютерре...

      9.2.10

      Как посчитать цену утечек?

      В блоге Рича Могула, известного эксперта в области ИБ и в частности в области утечек информации, опубликованы предложения по оценке стоимости утечек информации. Он предлагает уйти от распространенного метода оценки "цена утечки в пересчете на одну запись" (который совершенно непрозрачен) в сторону более применимого на практике подхода. Он заключается в использовании следующих метрик:
      • цена на инцидент
        • стоимость расследования инцидента
        • стоимость восстановления после инцидента
        • стоимость PR/общения с прессой
        • затраты на юридические издерюки (опционально)
        • затраты на нарушение соответствия (опционально)
        • стоимость досудебного урегулирования (опционально)
      • цена на запись
        • стоимость уведомления (создание списка пострадавших, печать, почтовые услуги)
        • стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)
        • стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)

      Также Рич предлагает еще три метрики, которые можно оценивать только при наличии соответствующих условий:
      • Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
      • Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
      • Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)

      8.2.10

      Роскомнадзор утвердил свой административный регламент

      В октябре я уже писал, что Роскомнадзор выпустил проект административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. И вот на днях МинЮст утвердил этот регламент.

      Послу публикации проекта регламента в его адрес было высказано ряд замечаний и предложений со стороны различных ведомств и общественных организаций. Не стал я детально анализировать весь регламент - не представляет он большого интереса, т.к. детализирует и пересказывает ФЗ-294 по большей части. Но вот перечень оснований для плановых и внеплановых проверок, о котором я писал в октябре, все-таки был расширен ;-(  Я не знаю, как МинЮст пропустил такой косяк, но факт, есть факт ;-(

      5.2.10

      Рекомендации по ПДн от Рособразования

      Ну и закончим обзор существующих сегодня рекомендаций по приведению себя в соответствие с ФЗ-152, рекомендациями Рособразования. Этим весомым ведомством было выпущено в прошлом году несколько приказов:
      • №17-187 от 22.10.2009 - дополнение к письму №17-110. В качестве приложений включает 40-страничные рекомендации по защите ПДн и подготовке необходимых документов. Все это обычное переложение ДСПшных (на тот момент) документов ФСТЭК, а также требований РКН и ФСБ. Есть некоторые рекомендации по снижению затрат - сегментация ИСПДн и отключение их от Интернет.
      • 17-110 от 29.07.2009 - рекомендации по заполнению письменного согласия абитуриента, учащегося или сотрудника учреждения Рособразования на обработку их ПДн. Из интересного можно отметить только рекомендацию обезличивания в виде использования личных кодов упомянутых категорий субъектов ПДн. В качестве приложения к этому приказу приведено описание существующих требований регуляторов (без их критического анализа). Т.е. рекомендации для образовательных учреждений требуется аттестация, лицензирование ТЗКИ и т.п. 
      • №17-02-09/185 от 03.09.2008 - указание об уведомлений РКН об обработке персональных данных
      • ФАО-6748/52/17-02-09/72 от 28.04.2008 - указание о классификации ИСПДн в строгом соответствии с Приказом трех.
      Ничего интересного в этих документа нет - просто переложение существующих нормативных документов в виде приказа Рособразования. Никакой попытки учесть отраслевую специфику. Никаких рекомендаций по снижению затрат.

        4.2.10

        У вас много проектов по ИБ и вы не знаете какой выбрать?

        Достаточно распространенная ситуация, встречающаяся в жизни многих компаний и предприятий. И часто возникает вопрос, как приоритезировать множество проектов? Помочь в этом может публикация национального американского инстутита стандартизации NIST SP 800-65 "Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process (CPIC)". Я про них уже писал, но решил вернуться именно в данном контексте.

        Раздел 3 данного документа описывает именно процесс приоритезации. Все проекты классифицируются по 6-ти критериям. И хотя сам документ ориентировано на государственные структуры США, его рекомендации могут быть полезны и в коммерческой сфере. Из 6-ти критериев в бизнесе можно взять 5:
        • влияние на бизнес
        • цена
        • соотношение цена/эффективность
        • выполнимость
        • важность проекта в деятельности организации (привязка к бизнес-целям).
        Дополнительно также рекомендуется применять и другие критерии:
        • зависимость анализируемого проекта от других
        • зависимость других проектов от анализируемого
        • сложность
        • время завершения.
        Затем данным критериям присваиваются веса и потом применяются традиционный системный анализ. Оцениваем каждый проект по пятибальной (трехбальной) шкале, умножаем показатель на вес критерия, суммируем все показатели по каждому проекту и получаем итоговые значения, которые и ранжируются по убыванию. Проекты с бОльшим значением должны выполняться в первую очередь.

        ЗЫ. Напомню, что сам документ описывает вопросы планирования и бюджетирования ИБ.

        3.2.10

        Рекомендации по ПДн от 4CIO

        Продолжаю краткий анализ существующих рекомендаций по приведению себя в соответствие с ФЗ-152. Теперь настал черед рекомендаций клуба 4CIO. У них получилась этакая сводка ключевых фактов по данной теме - основные понятия, регуляторы, наказание, законодательство и т.п. Но очевидно, что авторы рекомендаций не сильно погружались в тему, т.к. никакого серьезного анализа законодательства, требований регуляторов... И никакого критического анализа, попыток найти способы оптимизации своих усилий.

        Рекомендации классические - классификация ИСПДн, изучение документов ФСТЭК, построение модели угроз, реализация защитных мер, уведомление РКН. Правда, не говорится, как построить модель, как правильно классифицировать ИСПДн или понизить класс, как уйти от параноидальных требований по защите, изложенных в первой версии четверокнижия...  Перечень внутренних документов, которые должны быть "по теме" меньше нужного в 4 раза ;-(

        А вот дальше уже интереснее. Идет раздел, в котором аккумулированы мнения ИТ-директоров различных компаний. Вот здесь есть, что посмотреть и почитать ;-) Написано и про аппетит интеграторов, и про нежелание тратить деньги в кризис, и про "секретность" документов ФСТЭК. Потом идет парафраз о "пользе" сертифицированного ПО.

        В качестве приложений приведен список интеграторов, занимающихся ПДн, список сертифицированного ПО и оборудования и контакты регуляторов.

        2.2.10

        Четверокнижие по ПДн - next generation

        На сайте ФСТЭК размещен проект приказа "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", который судя по всему приходит на смену пресловутому четверокнижию. Из интересного в нем:
        • планируется его подпись у директора ФСТЭК, а не его заместителя
        • выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Приказом трех.
        • методы и способы защиты информации ... в зависимости от класса информационной системы определяются оператором в соответствии с приложением к настоящему Положению. Приложение к Положению привязано к 4-м классам. Т.к. приказ трех у нас не определяет классов для специальных систем, то... опять свобода творчества.
        • вместо детального перечисления длин паролей и другой тягомотины первой версии четверокнижия, в данном Положении просто перечислены основные механизмы защиты, что большой плюс (да и перечень на первый взгляд достаточно грамотный). Правда, вся тягомотина, присущая первой версии четверокнижия, перекочевала в Приложение. Но ее причесали, убрали нестыковки, повторы и просто невыполнимые или непонятные требования. Т.е. привели в читаемый вид.
        • НДВ требуется только для ИСПДн 1-го класса (для 2-го и 3-го - по решению оператора)
        • защита от утечек по техническим каналам осталась для 1-го класса (но фраза может толковаться свободно - "могут использоваться", а не "должны использоваться"). Для ИСПДн 2-го класса надо применять СВТ, удовлетворяющие требованиям национальных стандартов по электросовместимости и т.п. (все как в первом четверокнижии).
        • в системах 1-го класса с голосовым вводом (IVR) или воспроизведением голоса требуется защита акустики.
        • борьба с видовыми утечками реализуется оргмерами (отвернуть монитор от окна, например).
        Но самое главное!!! Ни слова про сертифицированные решения, аттестацию объекта информацизации и получение лицензии на ТЗКИ! Если документы пройдут в таком виде, то они станут более приближенными к реальности и за них уже не будет так стыдно, как за предыдущие редакции четверокнижия.

        PS. Malotavr у себя в блоге более детально и концептуально прошелся по новому проекту.

        1.2.10

        Рекомендации по ПДн от Минздравсоцразвития

        В конце декабря на сайте Минздравсоцразвития были опубликованы Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, а также модель угроз типовой медицинской информационной системы (МИС) типового лечебно профилактического учреждения (ЛПУ), рекомендации по составлению частной модели угроз (215 страниц!), а также 26 приложений.

         Что интересного я могу отметить в данных документах:
        • они утверждены начальником 2-го управления ФСТЭК. С одной стороны это придает документам некоторую официозность, а с другой - причем тут 2-е управление? С юридической точки зрения никакой ценности такая подпись не дает.
        • по прежнему в качестве часа Х указано 1-е январа 2010 года. Хотя авторы и согласующие не могли не знать, что закон перенесут (особенно в момент подписания 23-го декабря). Особенно смешно выглядит фраза про проведение первоочередных мероприятий в сжатые сроки - до 1-го января (за 8 дней). Еще смешнее - указание о пересмотре всех мероприятий в течении 6 месяцев ввиду опубликования новых пояснений по ФЗ-152 со стороны регуляторов.
        • постоянная путаница статуса документа - то это рекомендации, то медучреждения "обязаны".
        • жесткая ориентация на ФСТЭКовские документы - аттестация, сертификация и т.п.
        • огромным достоинством является наличие шаблонов документов, требуемых в процессе приведения в соответствие и рекомендаций по их составлению и заполнению. Правда, кто и как это будет делать в районной поликлинике, где один врач и пара медсестер, непонятно.
        • интересным является разделение мероприятий на обязательные и выполняемые, только при выделении финансирования.
        • интересно, что в рекомендациях (напомню, что они согласованы с ФСТЭК) дано определение ПДн, позволяющих идентифицировать личность (т.е. дано описание разницы между 2-й и 3-ей категорией ПДн Приказа трех).
        • для снижение класса ИСПДн предлагаются различные не раз уже описанные варианты. В т.ч. и сегментация сети с помощью сертифицированных МСЭ. Вопрос о применении сертифицированных коммутаторов остается пока открытым. Но следуя логике рекомендаций это допустимо.
        • описан из один из механизмов обезличивания, который не подразумевает необратимость преобразования. И вновь напомню, что документ согласован с ФСТЭК, а значит эти рекомендации вполне применимы и в других сценариях.
        • к обязательным мерам защиты (невзирая на финансирование) относится антивирус, МСЭ и СКЗИ (последение - при подключении к Интернет и взаимодействии с другими системами). Из антивирусов прямо рекомендуется продукция Касперского или Dr.Web, а из МСЭ - VipNet и Застава (куда смотрит антимонопольная служба?)
        • сертифицированные ФСТЭК средства обязательны. Защита от ПЭМИН осталась! Акустика и видовая информация тоже в прицеле данных документов.
        • интересна методика составления модели угроз. Достаточно подробно описывается, как определяется актуальность угрозы. Судя по тексту и используемой фактографии используются секретные наработки ФСТЭК. Например, если соблюдаются меры пожарной безопасности, то все стихийные бедствия (видимо наводнения тоже) считаются маловероятными. Или вот еще. Если сотрудники подписали договор о неразглашении, то вероятность утечки - низкая. Логика от меня ускользает, но для облегчения модели угроз это хорошо. Еще. Если ПДн не передаются через Интернет, то DoS-атаки и спам маловероятны. Плюсом методики являются примеры моделей для различных видов ИСПДн медучреждений.

        В целом повторяется история с четверокнижием ФСТЭК. Рекомендации Минздравсоцразвития совершенно неприменимы на практике, неработоспособны и не учитывают реализий современного российского здравоохранения. Зато раскрывают отдельные спорные моменты первой версии четверокнижия ФСТЭК. Именно первой, потому что второй и третьей редакции ФСТЭКовского творения описываемые рекомендации уже начинают противоречить.

        ЗЫ. В свойствах документов в качестве автора указана "Практика безопасности".

        ЗЗЫ. Красивая фраза "информация в виде бит, байт, IP-протоколов, файлов и других логических структур". Значит ли это, что защиту неструктурированной информации можно не обеспечивать? А если информация у меня в килобайтах?