30.3.10

Проект нового приказа ФСТЭК

ФСТЭК разместил на своем сайте проект приказа "Об утверждении Порядка опубликования и вступления в силу актов Федеральной службы по техническому и экспортному контролю, признанных Министерством юстиции Российской Федерации не нуждающимися в государственной регистрации".

Интересный документ. Например, все акты ФСТЭК, не нуждающиеся в регистрации в МинЮсте, должны быть опубликованы на сайте ФСТЭК и... в журнале "Connect! Мир связи". Это считается их официальной публикацией по мнению ФСТЭК. Срок публикации - 10 дней с момента получения заключения ФСТЭК. Зато предельно ясен срок вступления в силу таких актов - с момента признания их МинЮстом не нуждающимися в регистрации.

Ну а к документам, обязательным для регистрации по-прежнему действуют старые правила, прописанные в ПП-1009 от 13 августа 1997 года.

29.3.10

Ожидаемое и реальное поведение людей в окружении безопасности

Есть в Норвегии такой федеральный орган как National Security Authority (это наши ФСТЭК и ФСБ вместе взятые). В 1998 году под его эгидой был выпущен Norwegian Security Act, который обязывал государственные и частные предприятия предпринимать ряд мер по защите конфиденциальной информации. Знакомо, не правда ли? Некоторое время спустя агентство решило проанализировать поведение сотрудников организаций, подпадающих под действие закона, с точки зрения ИБ. Неудивительно, что между ожидаемым (все-таки закон обязателен к исполнению) и реальным поведение был обнаружен разрыв, причиной которому было несколько барьеров:
  • юзабилити (удобство/неудобство) безопасности (как систем, так и процедур и процессов)
  • отсутствие у сотрудников необходимых знаний в области ИБ
  • отношение к безопасности (например, "старые" сотрудники не запускали утвержденный процесс реагирования на инцидент, произошедший по вине новичков, предпочитая поговорить с ними "по душам" и дать им еще один шанс в ущерб установленным правилам)
  • отсутствие культуры безопасности (например, сотрудники часто думают или говорят "почему я должен это делать, если мой коллега этого не делает?")
  • конфликт целей (классическая диллема: что важнее - запустить продукт к заданному сроку, но без серьезных проверок на безопасность, или досконально проверить защищенность, но сорвать сроки запуска проекта?)
  • традиционные человеческие ошибки.

Предположу, что аналогичные барьеры существуют не только в Норвегии, но и в любой стране и любой организации, внедряющей различные технологии и практики ИБ. А раз эти барьеры одинаковы, то, зная о них, можно подготовить и меры по снижению их негативного эффекта. Без этого любые попытки навязать какое-либо обязательное требование или заставить выполнять федеральный закон или иной нормативный акт будут обречены на провал.

27.3.10

Cisco SAFE Next Generation

Многие слышали о разработанной нами технологической архитектуре безопасности Cisco SAFE (Security Architecture for Enterprise). Именно на ее основе многие строили свои защищенные сети. Вторая вышедшая версия, которую мы перевели на русский язык, была многократно скачана с нашего сайта. Но ничто не стоит на месте и вот в прошлом году мы анонсировали новую версию SAFE (SAFE NG), краткий русский перевод которой, я и выкладываю. Также этот документ выложен на сайте cisco.ru и на нашем информационном портале my.cisco.ru.


Cisco SAFE Next Generatrion

26.3.10

Системное исследование человеческого фактора при разработке систем безопасности

"Многие защищенные и безопасные системы опираются на действия людей для выполнения критически важных функций. Однако, люди часто не справляются со своими ролями. Когда это возможно, дизайнеры и архитекторы систем безопасности должны находить способы исключения человеческого фактора при проектировании систем. Однако, есть ряд задач, для которых альтернатив человеку нет или они экономически нецелесообразны. В этих случаях архитекторы безопасности должны максимизировать свои шансы на выполнении всех критичных для безопасности функций даже при наличии человеческого фактора". Так начинается отчет CMU-CyLab-08-001 "A Framework for Reasoning About the Human in the Loop", опубликованный институтом Карнеги Меллона в январе 2008 года.

"Мы предлагаем основу для рассуждений о человеческом поведении, что обеспечивает систематический подход к выявлению возможных причин для "отказа человека", т.е. действий человека, направленных на умышленный или случайный обход системы защиты. Эта структура (framework) может быть использована дизайнерами и архитекторами для выявления проблемных областей до внедрения систем и для своевременного обнаружения и устранения недостатков, связанных с человеческим фактором. Эксперты безопасности могут также использовать этот подход для анализа причины неудач и сбоев в системе безопасности, которые относятся к разряду человеческих ошибок. Приведены примеры, иллюстрирующие применение этого подхода к различным проблемам проектирования защищенных систем, включая системы антифишинга и управления паролями".

Достаточно интересное исследование, которое лишний раз демонстрирует важности учета психологических аспектов при построении и внедрении систем ИБ.

25.3.10

Вас взломали? Как общаться с внешним миром?

Пока писать не хватает времени ;-) Буду выкладывать интересные презентации, которые нахожу в архиве.

24.3.10

7 способов оценки вероятности риска

Выступить вчера мне не удалось. Причина более чем уважительная - рождение дочери. Поэтому просто выкладываю презентацию про 7 способов оценки вероятности риска.

23.3.10

Ексель?.. Моксель?.. Лексиль!

Есть такая штука, называется Lexile. Суть ее проста - она (т.е. модель, алгоритм и т.п.) позволяет оценить сложность любого текста для восприятия. С помощью Lexile в США оценивают школьников и студентов, их умение читать, писать и т.д. При этом у данного метода есть замечательное свойство - ему все равно, тексты на каком языке оценивать. Учитывая многонациональность США это очень важно. Именно после внедрения Lexile во многих ВУЗах с помощью единой шкалы стало проще оценивать студентов, говорящих на разных языках. Минимальный уровень Lexile, означающий текст начального уровня (для детей), составляет 100. Уровень 1700 - это решения Верховного суда США, а также различные научные статьи.

К чему это я все веду? Просто мне тут пришло в голову, что с помощью данного метода можно запросто оценивать понятность и уровень восприятия документов по ИБ, которые пишутся во многих организациях. Т.к. они часто ориентированы на рядовых пользователей, то неплохо бы писать документы, опираясь на их средний уровень Lexile (а не уровень сотрудников ИБ). Правда, это уже из области фантастики. И так не хватает времени на рутину, а тут еще я со своими идеями ;-) Но интеграторам может и стоит задуматься...

ЗЫ. С помощью Lexile можно оценивать и восприимчивость курсов повышения осведомленности, которые далеко не всегда ориентируюся на пользователей.

22.3.10

Указ 334 возвращается?!

В мае прошлого года в журнале "Финанс" была опубликована статья по результатам общения журналиста с Леонидом Викторовичем Беляевым, начальником отдела лицензирования, сертификации и защиты гостайны ФСБ России. Это то, с чем нам приходится сталкиваться уже сейчас и что нас ждет в самом ближайшем будущем.

Все это очень сильно коррелирует с тем, что я описал в Компьютерре, как прогноз для российского рынка ИБ в 2010 году.

А вот то, к чему это уже все привело. И вот еще. Ну и напоследок.

ЗЫ. А вот что думает про это Cisco.

ЗЗЫ. В курсе про моделирование угроз я эту ситуаию тоже рассматриваю. Она показывает, что на проблему надо смотреть не только с технической точки зрения, а гораздо ширше ;-) В частности изменение законодательства может (могло) стать причиной останова модернизации инфраструктуры безопасности или приостанова ввода в строй новых сервисов, завязанных на СКЗИ, которые оказалось нельзя ввезти. Но это так, к слову...

19.3.10

ИБ-выставки уходят в онлайн

Полтора года назад я писал про проводимый нами Cisco IT Security Forum, который проводился полностью в виртуальной среде, в онлайн. С тех пор мы провели несколько таких мероприятий по раззличным направлениям деятельности Cisco.

И вот новая тенденция доползла и до России. С 29 марта по 1 апреля 2010 года на интернет-ресурсе НаВыставке.ру пройдёт первая отраслевая онлайн-выставка по информационной безопаcности IT SECURITY ONLINE SHOW. Будет и выставочная часть и конференционная. Так что должно быть интересно.

ЗЫ. В эти даты, правда, уже проходит обычная конференция "Стандартизация, внедрение и оценка безопасности при использовании ИКТ", где я возможно буду выступать с двумя докладами - про международные стандарты в области защиты ПДн и про международные стандарты в области защиты критичных инфраструктур. Также 1-го числа начинается РусКрипто. Надеюсь, что это не сильно помешает проведению онлайн-шоу.

18.3.10

Как предсказать проблемы с безопасностью?

Это один из ключевых вопросов в области ИБ. Над ответом на него бьются лучшие умы отрасли. Что надо для решения этой насущной проблемы? Правильная модель и правильные данные. С первым, в общем, ситуация более менее разрешима. Особенно если привлекать алгоритмы из смежных областей. Относительно недавно на глаза попалось исследование Келдышевского института. Так там говорится о том, что DDoS-атаки и эпидемии червей можно предсказывать заранее; и даже модели приводятся. Но... все эти модели бесполезны без репрезентативных и качественных данных.

Недавно Министерство национальной безопасности США (DHS) запустило новый проект - PREDICT (Protected Repository for the Defense of Infrastructure Against Cyber Threats). Это защищенный репозиторий данных, используемых для исследований в области информационной безопасности. Основная его идея - помочь исследователям, разработчикам новых продуктов и авторам новых технологий.

ЗЫ. В проект можно подключиться как исследователь, использующий данные репозитория, автор новых данных, и хостер для данных.

ЗЗЫ. DHS также анонсировал на днях конкурс National Cybersecurity Awareness Campaign Challenge по сбору и последующей публикацией идей на тему: "Как сделать граждан более защищенными и более подкованными в информационной сфере?" Если есть желащие, welcome ;-)

16.3.10

Третий Russian CSO Summit

22-23 марта пройдет третий российский съезд директоров ИБ. Достаточно интересная программа заявлена. Соотношение вендоров-заказчиков среди выступающих примерно 50/50. Из интересных докладов можно назвать выступление Михаила Хазина, известного экономиста и футуролога.

Я тоже буду там выступать с темой "7 спобов оценки вероятности риска" (в секции риск-менеджмента).

12.3.10

Почему региональные ФСТЭК ничего не знают о 58-м Приказе

Забавно, что региональный ФСТЭК похоже не слышал не только о решении об отмене двух документов четверокнижия, но и о 58-м приказе тоже ничего не знает. Вчера выступал на конференции в Ростове, на которой представители ФСТЭК долго и нужно пересказывали четверокнижие и то, как все должны аттестовать свои системы и получать лицензию ТЗКИ. Подозреваю, что и в других федеральных округах ситуация не лучше.

ЗЫ. Грустно то, что и многие интеграторы и вендоры ИБ, выступавшие там же, тоже ничего не знали про решение ФСТЭК об отмене части четверокнижия ;-(

11.3.10

ФСТЭК отменяет часть четверокнижия

В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
  • "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
  • "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. 

Взято с сайта ФСТЭК (спасибо malotavr за наводку).

10.3.10

Создана Ассоциация защиты прав операторов и субъектов ПДн

В феврале была создана некая Ассоциация защиты прав операторов и субъектов ПДн. Как написано на сайте: "Ассоциация" является добровольным объединением, основанным на членстве юридических и физических лиц. Ассоциация создана по инициативе граждан, объединенных профессиональной деятельностью, для реализации общих идей и целей и объединяет специалистов в области персональных данных различного уровня (от специалистов до руководителей направлений)".

Не знаю, что будет делать сама Ассоциация, но сайт должен стать единым источником полезной информации по теме ПДн. Хотелось бы, чтобы Ассоциация еще и в изменении законодательства участвовала, но в ее целях и задачах этого нет - только несение света в массы (правда, непонятно на какие средства, но это мелочи). Уже сейчас на сайте куча всяческих документов, ссылок, новостей, форум и т.п.

ЗЫ. Кто создатель Ассоциации неизвестно (как и список ее членов), но по косвенным признакам - это г-н Травкин. Небезызвестный toparenko активно рулит наполнением сайта, что дает надеяться на качество последнего ;-)

9.3.10

Privacy filter

Прочел у Шнайера про privacy filter (улыбнуло) и вот навеяло... Если не брать в расчет такой экстравагантный способ скрыть от чужих глаз то, чем мы занимаемся за своим лэптопом, то по сути своей существует только один вариант - поставить privacy filter. Вещь безусловно полезная. Я ее оценил, когда получил фильтр в Cisco. Теперь можно не беспокоиться, что во время командировок ко мне в экран будут заглядывать посторонние люди. А те, кто у нас не ездят никуда, используют его тоже с пользой - никто проходя за спиной не подсматривает, что человек делает. Психологически комфортнее работать.

Это же решение замечательно борется с видовыми утечками, которыми так любит пугать ФСТЭК и требовать защиты от этой угрозы.Хотя парадок в этом решении конечно же присутствует. Производители делают все, чтобы матрица экрана была видима под как можно более широким углом. А фильтр, наоборот, сужает этот показатель до минимума. Яркость изображения, конечно, падает, но зато возрастает безопасность. Да и глаза устают гораздо меньше. Я уже к нему так привык, что и не замечаю его на мониторе.

Но сразу надо заметить, что вещь недешевая (хотя и дешевле традиционных методов борьбы с видовыми утечками). 3M'овские (а это лидер рынка) стоят от 80 до 150 долларов в зависимости от размера монитора. Корпоративные цены существенно ниже. Но можно получить и вовсе бесплатно - в позапрошлом и прошлом годах их бесплатно распространяли на InfoSecurity в Лондоне.

Всех читательниц с 8-м Марта

Поздравляю всех читательниц с 8-м Марта!

Вы постоянно вдохновляете поэтов,
Писателей, актёров и умов.
Без вас бы Пушкин не писал куплетов,
И не услышали б мы Лермонтовских строф!

Пусть радостью сегодня солнце светит,
В тени оставив сноп больших тревог,
И все цветы, какие есть на свете,
Цветут сегодня пусть у Ваших ног.

5.3.10

Как банкиры и страховщики тратят деньги на безопасность?

Forrester вчера опубликовал отчет, в котором анализируются статьи затрат банков и страховщиков на безопасность.

Как научить мобильных абонентов думать о безопасности

Вымпелком запустил зачетный ресурс для абонентов по повышению их осведомленности в области борьбы с мошенниками.

4.3.10

Мое выступление на IDC IT Security Roadshow

Вчера я выступал на IDC IT Security Roadshow в Москве. Очень достойное мероприятие было - свыше 500 человек, интересные встречи, интересные дискуссии в кулуарах. Меня многие спрашивали, где скачать мою презентацию? Пока организаторы не выложили ее на свой сайт, я выкладываю ее здесь (в расширенном формате - минут на 35, а не 25, как было на конференции).

3.3.10

Законопроект "О национальной платежной системе"

Попал мне в руки законопроект "О национальной платежной системе", о которой говорят много и активно чиновники разных уровней. До 31-го марта законопроект должен быть подготовлен и внесен в ГосДуму. Суть его проста - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы. Ну а по простому - у нас хотят построить свою Visa или MasterCard ;-)

Теперь о процессинге. Из статьи 9: "Банк России вправе устанавливать требования к деятельности операционных центров значимых платежных систем, включая требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям". Требования PCI DSS отдыхают. И хотя ЦБ не раз заявлял, что их СТО во многом схож с PCI DSS, выполнять придется требования СТО, а не PCI DSS... с прохождением оценки соответствия (скорее всего в ABISS).

С процессингом связан и гораздо более неприятный для всех момент (он так и кочует из версии в версию и менять его пока никто не собирается, хотя попытки есть): процессинговые центры "не вправе передавать информацию, касающуюся переводов денежных средств, осуществляемых на территории Российской Федерации, на территорию иностранных государств или предоставлять доступ к ней с территории иностранных государств". Что это значит для простых граждан? Вы не сможете оплатить имеющейся у вас картой Visa или MasterCard покупку в магазине! Вы не сможете снять зарплату с карты! Вы не сможете перевести деньги через Western Union! И т.п. А все потому, что нередко процессинг (по крайней мере у европейских и азиатских банков, не говоря уже о самой Visa и MasterCard) располагаются за пределами РФ.

Законопроект вводит такие понятия, как расчетный и клиринговый центр. Требования по управлению рисками в них устанавливает также Банк России (пора изучать 242-П, 76-Т, 2194-У и т.п.). К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п. Чтобы стать участником платежной системы надо будет выполнить ряд условий, в т.ч. и требования по ИБ. Все участники "обязаны выполнять требования по оценке и управлению рисками, предусмотренные правилами платежной системы".

Теперь об информационной безопасности. Операторы платежной системы обязаны обеспечить оценку и управление рисками, а также разработать меры обеспечения информационной безопасности в платежной системе и обеспечить контроль их соблюдения. Ключевым регулятором (в текущей редакции законопроекта) является Банк России. Об этом говорит отдельная, 17-я статья: "Информационная безопасность в платежной системе обеспечивается в соответствии с требованиями законодательства Российской Федерации совокупностью технологических и организационных мер, аппаратно-программных и технических средств защиты информации. Оператором платежной системы, участниками платежной системы, операторами услуг платежной инфраструктуры должна проводиться оценка соответствия информационной безопасности в платежной системе требованиям к обеспечению информационной безопасности в порядке, установленном правилами платежной системы. Банк России вправе устанавливать требования к обеспечению и порядок оценки информационной безопасности в значимых платежных системах".

Отдельный раздел законопроекта посвящен национальной платежной карте (аналог Visa или MasterCard). Будет создан аналог Visa в России, который "разрабатывает и принимает стандарты ...обеспечения информационной безопасности, обеспечивает контроль за их соблюдением". Теперь у нас будет свой аналог PCI DSS.

ЗЫ. С момента опубликования ФЗ выделяется 6 месяцев на его вступление в силу. За это время все участники должны будут выполнить требования по ИБ ;-)

1.3.10

Новый документ ФСТЭК по защите ПДн

Итак свершилось... То, о чем я писал пару-тройку недель назад свершилось - ФСТЭК выпустил новую версию своих требований по защите ПДн - приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн" (в Консультанте и в Гаранте). Он утвержден директором ФСТЭК и зарегистрирован в МинЮсте 19 февраля.

Учитывая легитимность этого документа (и нелигитимность четверокнижия), основание выпуска этого приказа (тоже во исполнение пп-781) и срок выпуска этого приказа (он более новый, чем четверокнижие), а также исходя из общих норм права, можно сделать вывод, что приказ № 58 пришел на замену (а не в дополнение) предыдущих документов ФСТЭК по теме персданных.

Второй приятный момент в документе - отсутствие требований лицензирования, аттестации и применения сертифицированных СЗИ. Последние нужны только для ИСПДн 1-го класса и только в части отсутствия НДВ.

Все защитные меры разрабатываются только исходя из модели угроз и класса ИСПДн - никаких заранее готовых перечней механизмов защиты не предусматривается. Класс определяется только исходя из "Приказа трех". Это один из скользких моментов, т.к. "приказ трех" не предусматривает дополнительной классификации специальных систем, а типовых систем в природе не существует. А вот перечень методов и способов защиты (перекочевал из четверокнижия), приведенный в Приложении к Приказу, привязан к классам типовых систем.

Как решать этот парадокс пока не совсем понятно. Я придерживаюсь точки зрения, что раз методики классификации спецсистем не существует, то мне остается только самостоятельно (или с привлечением лицензиата) разработать перечень защитных мер исходя из модели угроз. А перечень из приложения к приказу - всего лишь рекомендация, не более.

С ПЭМИН борьба только при актуальности данной угрозы.