29.12.11

Дорогой Дед Мороз, в 2012-м году я хочу...

Здравствуй, дедушка Мороз!

В предверии Нового года я пишу тебе это письмо в надежде, что ты прочтешь его и выполнишь мои пусть не детские, но все равно новогодние желания. Ведь в уходящем году я вел себя хорошо и могу надеяться, что ты услышишь мои пожелания.

Дедушка, сделай так, что ФСТЭК и ФСБ занимались своим прямым делом - защитой государственной тайны и критически важных объектов и не вмешивались в деятельность коммерческих предприятий. Если уж им так неймется, то пусть их вмешательство носит характер рекомендаций и best practices, но никак не обязательных требований, базирующихся на 20-тилетней давности предпосылках.

Пусть в грядущем году Дракона регуляторы снизят свои драконовские требования при проверках и поменяют свой подход при организации надзорных мероприятий. Пусть свои проверки они организуют только против тех, по чьей вине страдают граждане, а не против всех подряд. Пусть при проведении проверок ФСТЭК, ФСБ и Роскомнадзор ищут, чем помочь проверяемому, а не как его наказать.

Пусть в 2012-м году регуляторы сделают свои требования прозрачными и адекватными современному развитию информационных технологий и не навешивают гриф "ДСП" или "секретно" на требование установить длину пароля не меньше 6-ти символов. Пусть все смогут ознакамливаться с требованиями по информационной безопасности и требованиями по оценке соответствия, а не только те, кто имеет соответствующие лицензии и допуск к сведениям, составляющим гостайну. А еще лучше, если ты, дедушка, сделаешь так, чтобы система оценки соответствия требованиям по информационной безопасности была единой и производителям не приходилось бы сертифицировать свои продукты в сразу в трех системах сертификации ФСТЭК, ФСБ и Минобороны (если не считать Газпромсерт) только потому, что эти системы не признают сертификаты, выданные друг другом.

Пусть грядущий год принесет рост квалификации сертификационных лабораторий, как и рост  прозрачности их ценообразования. Пусть в России развиваются системы добровольной оценки соответствия, что позволит повысить конкуренцию между лабораториями и, соответственно, качество их услуг.

Пусть ФСТЭК и ФСБ наконец-то начнут признавать международные системы оценки соответствия, как это написано в законе "О техническом регулировании" и 608-м Постановлении Правительства. А при сертификации средств защиты пусть ФСТЭК и ФСБ руководствуются международными правилами, как это написано в 455-м Постановлении Правительства и том же законе "О техническом регулировании", а не изобретают велосипед с квадратными колесами.

Я желаю, что наши регуляторы прислушивались к мнению экспертного сообщества, а не ограничивались обсуждением ключевых вопросов в закрытом кругу лиц, всю жизнь посвятивших себя борьбе со шпионами и защитой государственной тайны.

Пусть в будущем году государство начнет ценить работу сотрудников ФСТЭК и ФСБ и будет платить им адекватную зарплату, которая позволит им жить, а не существовать и не будет заставлять их правдами и неправдами вымогать взятки в своей работе. Ну а уж если государство сможет в году, на который назначен конец света, создать единый государственный орган по информационной безопасности, который будет координировать все усилия в данной области, то это будет мне и моим коллегам замечательным подарком.

Я понимаю, что просить нужно за себя и мир во всем мире - это задача вселенского масштаба, но сделай так, чтобы российская молодежь считала, что киберпреступность - это плохо. Пусть они не делают разницы между кражей 300 рублей из сумки пенсионерки в автобусе и 300 рублей с виртуального кошелька в Интернет-банке. И пусть такой разницы не делают наши суды и следователи правоохранительных органов. Пусть условные сроки сменятся реальным наказанием, которое покажет, что киберпреступления ничем не отличаются от обычных. Пусть наши законодатели начнут разбираться в информационных технологиях и смогут принимать адекватные законы, направленные на развитие, а не на стагнацию этой сферы, которую наш пока еще действующий Президент назвал одним из столпов модернизации и инновационной экономики, которую мы пытаемся развивать.

Пусть мои коллеги, специалисты по безопасности, работающие в разных сферах нашей экономики, не сидят по углам и не молчат, не желая высказывать свою позицию, боясь навлечь на себя проверки регулятора. Пусть они перестанут договариваться "в частном порядке" с регуляторами.

Дедушка, еще лучше, если государство осознает важность направления информационной безопасности и сделает работу в отрасли престижной. И пусть в школах и ВУЗах начнут преподавать основы информационной безопасности как один из основных предметов. Если уж в застойной Америке существует месячник кибербезопасности, то пусть и в России на национальном уровне наше государство продвигает, что Интернетом и ИТ можно и нужно пользоваться защищенным образом. И пусть государство стимулирует и поощряет тех, кто готов заниматься этим делом.

Я понимаю, что я прошу не так уж и мало. Но мне кажется, что все равно это гораздо меньше, чем желание нашего Президента об искоренении коррупции во всей России, или желание премьер-министра об увеличении ВВП в два раза. Пусть хотя бы малость из того, что я у тебя попросил, сбудется в 2012-м году!

С Новым Годом! С Рождеством!

28.12.11

Разъяснение ФЗ-152 для нотариусов

Федеральная нотраиальная палата выпустила письмо, разъясняющее отдельные положения ФЗ-152 для нотариусов. Надо ли уведомлять РКН? Надо ли нотариусу получать согласие субъекта? Как обрабатывать ПДн, полученные не напрямую от субъекта? Надо ли уведомлять субъекта ПДн до начала обработки его ПДн, если эти ПДн получены не напрямую от него? Согласие работников нотариальных палат на обработку их ПДн. И т.д.

ИБ-2012: прогнозы

Вчера я описал ключевые события, тенденции уходящего года. Пора поговорить и о том, что нового будет происходить в ИБ в России в 2012-м году? Как это не парадоксально, но ничего! Исходя из нынешней ситуации и если предположить, что в марте (и до марта) ничего кардинально нового не произойдет, могу сделать прогноз о том, что все ключевые события произошли еще в 2011-м году. В 2012-м будет только их развитие или продолжение.

Ну действительно. Сообщества безопасников будут только развиваться. Вон, партия ИТшников, инициированная Женей Царевым, за пару дней набрала тысячу "лайков". Это еще не члены, но отношение позитивное (хотя и не все его разделяют). RISSPA тоже будет наращивать свои активности.

С ФЗ-152 ситуация вроде бы тоже понятная и сюрпризов ждать не стоит. Выйдут новые постановления Правительства. За ними воспоследуют и нормативные акты ФСТЭК и ФСБ. Сюрпризов в них ждать не приходится; как и рассчитывать на либерализацию (отказ от сертификации СЗИ, лицензирования деятельности по ТЗКИ и т.д.). Эпопея с отраслевыми стандартами (несмотря на их отсутствие в ФЗ-152) продолжится. СТО БР ИББС получит новое развитие.

С реализацией протестов в Интернет ситуация продолжится; как минимум, в мире. С Россией все не так очевидно и будет зависеть от результатов мартовских выборов. Флешмобы в Facebook, Вконтакте, Твиттере продолжятся, но вот о российских Anonymous и Lulzsec пока говорить рановато. Хотя у нас для них все условия. И специалисты есть, и уровень защищенности госорганов слабый - ломай не хочу.

Со SCADA ситуация аналогичная - число атак на критичные инфраструктуры продолжится. Как и рост угроз, связанных с кражей денег со счетов российских пользователей (преимущественно компаний). И вообще коммерциализированные угрозы все больше распространяются в России. Появление и расширение прослойки среднего класса влечет и усиление внимания к нему со стороны киберпреступников. И хотя мы пока отличаемся по платежной способности от Западной Европы и США, у россиян тоже появляется то, чем можно поживиться. Но до Запада нам все-таки пока далеко (слайд 36). Правда, тут мы опять скатываемся к политике. Если будущим президентом станет все-таки Путин, то рост эмиграции из страны только усилится. Уже сейчас по данным Росстата уровень эмиграции сравнялся (а по некоторым данным и превысил) с уровнем эмиграции из Советской России после 1917-го года. Если эмиграция продолжится, то уедут именно те, у кого есть сбережения и которые пополнят число потенциальных жертв киберпреступников на Западе. А Россия опять останется вне прицела (может это и хорошо) мировой киберпреступности.

Электронное государство - это некий курс, который уже сложно менять. Вопрос только в том, как его будут реализовывать с точки зрения ИБ. Как всегда или как надо? В первую очередь мне интересны действия нашей власти по отношению к облакам, системе идентификации, УЭК и ЭП. Именно они видны в первую очередь потребителю. Все остальное - это закулисье, которое доступно только специалистам.

Конфронтация со всем миром тоже продолжится ибо я пока не вижу предпосылок для того, чтобы идти в ногу со всеми. Люди те же у власти, задачи те же.


С технологической точки зрения мы врядли сильно отличаемся от всего мира в части тенденций. Будут понемногу развиваться проекты по облакам (если регуляторы не задушат эту тему), по удаленному и мобильному доступу, по активному внедрению мобильных устройств в бизнес-процессы, по виртуализации, по технологиям совместной работы, по Web 2.0... Главное, чтобы регуляторы не сильно закрутили гайки и не поставили все эти технологии вне закона. Тогда многие компании, как это бывало и в прошлом, просто забьют на требования нормативных актов и будут применять то, что им нужно для работы, а не то, что от них требуют некомпетентные органы контроля (надзора).

Единственное, где что-то будет меняться - это регулирование. Но общая тенденция по усилению регулирования останется прежней. Меняться или, точнее, появляться будут только нормативные акты. По госуслугам, по электронной подписи, по УЭК, по критичным инфраструктурам, по персданным, по национальной платежной системе, по ДБО, по карточкам/процессингу, по аттестации, по конфиденциалке, по облакам, по виртуализации, по Интернет... Всего и не перечислишь.

ЗЫ. А в целом, моя презентация с форума директоров по ИБ по тенденциям в области ИБ на 2011-2012 годы остается актуальной.

27.12.11

Топ10 событий 2011-года

В конце года принято подводить некоторые итоги и выделять ключевые события года уходящего. Не буду исключением и составлю свой Топ10 таких событий в области информационной безопасности в России. Точнее даже не событий, а явлений или тенденций, которые мне запомнились в 2011-м году.
  1. Сообщества безопасников. Безопасники постепенно превращаются из разрозненных группок и единиц в сообщества - регионального или национального масштаба. При этом речь идет не просто об объединении по интересам, но и осуществлении вполне конкретных активностей, направленных на достижение целей и задач всего сообщества, а не отдельных его членов или руководителей. Одним из хороших примеров является RISSPA, которая регулярно проводит интересные и познавательные мероприятия, а также, после слияния с группой по безопасности виртуализации, инициировала разработку стандартов ИБ. Очень интересная инициатива задумана Женей Царевым - "Партия развития информационных технологий". Идея отличная. Инициатор тоже ;-) Думаю, что данное дело не затухнет. А вот АРСИБ ситуация не столь однозначная. Задумка была отличная, лозунги тоже, а вот реализация... За год существования АРСИБ я так и не понял, что эта ассоциация сделала для отрасли ИБ? Может 27-го января что-нибудь конкретное скажут.
  2. ФЗ-152. Про данный закон и все, что с ним связано в 2011-м году, говорить много не надо. Тут и открытое письмо Президенту, и процесс принятия, и истинные причины...
  3. Протестные настроения. Протестные настроение - это все, что происходило в 2011-м году наперекор официальной позиции или супротив госорганов. В эту череду попали и протестные атаки Anonymous и Lulzsec, и публикация закрытой информации на Wikileaks, и "арабская весны" в социальных сетях. Одно из ключевых отличий этих событий от всех остальных инцидентов - отсутствие материальной заинтересованности (по крайней мере явной) у тех, кто осуществляет эти атаки. В эту же категорию, только с другим знаком, можно отнести и DDoS-атаки на сайты Эха Москвы, "Голоса" и других аналогичных организаций, которые отслеживали статус выборов депутатов в Госдуму и сообщали о многочисленных нарушениях.
  4. Угрозы SCADA. Stuxnet, Duqu... Число исследований посвященных уязвимостям критических инфраструктур (в первую очередь SCADA) растет. Растет и число угроз, связанных с использованием этих уязвимостей. Интересно, что около половины электроэнергетиков по всему миру нашли у себя следы Stuxnet, который изначально разрабатывался для АЭС в Бушере (Иран). Хотя сейчас я уже и задумываюсь, а для Бушера ли только разрабатывался этот "вирус"?.. Найден он был и в SCADA одной из крупнейших российских нефтегазовых компаний - до 90% всех систем заражено. И никто с этим не борется. Ибо отключать SCADA никто не даст (ущерб соишком велик), а резервные системы также заражены. Так и живут...
  5. Смена власти у регуляторов. Смена руководства 8-го центра ФСБ, смена руководства ФСТЭК, обновление состава Совета Безопасности, смена руководства БСТМ МВД... То ли действительно все достигли пенсионного возраста, толи так совпало, что смена руководства силовиков произошла за год до выборов президента... Кто знает?
  6. Электронное государство. Госуслуги через Интернет-портал, система межведомственного электронного взаимодействия, универсальная электронная карта, электронная подпись, запись в школы и поликлиники через Интернет... Все это начинает проникать в нашу жизнь, а следовательно надо задумываться и о безопасности таких электронных коммуникаций.
  7. Мероприятия по ИБ. Профиль и качество мероприятий по ИБ меняется. Меняется в лучшую сторону. PHD, IT&Security Forum, ZeroNights, форум директоров по ИБ, DLP Russia. Там где организацией занимаются те, кто понимает в ИБ, все получается. А вот Инфобез и Инфосек сдулись и это жалко.
  8. Русский CERT. Осенью в России открылся новый CERT, созданный Group IB. Это не первая попытка такого рода; как минимум у нас есть RU-CERT, но его деятельность не очень заметна в связи с его областью деятельности. А вот Group IB - компания более публичная и немало делает для популяризации темы расследования инцидентами и темы борьбы с киберпреступниками. Надеюсь, что на этом создание CERTов не закончится. Об аналогичных инициативых заявляла АРСИБ (хотя дальше заявлений дело пока не пошло), Координационный центр национального домена сети Интернет (который сейчас это навесил на Group IB и фонд "Дружественный Рунет"), АДЭ и межоператорское объединение МЕГА. Все-таки одного, и даже двух CERT для России маловато.
  9. Усиление регулирования. Регулирование... наверное, это основная тема моего блога, т.к. Россия очень уж зависима от тех семи регуляторов в области ИБ, которые у нас прописаны на уровне федерального законодательства. Все они выпускают различные нормативные акты, которые надо выполнять в той или иной степени. Выделить что-то особое из всей череды регулятивных мер в 2011-м году сложно. Это и ФЗ-152, и ФЗ "О национальной платежной системе", и новая редакция СТО БР ИББС, и пакет документов по электронной подписи, и обновленное законодательство о лицензировании, и новый Уголовный Кодекс и многое, многое другое.
  10. Россия мы весь мир. Конфронтация России и всего мира в области международного регулирования киберпространства в 2011-м году усилилась. С одной стороны мы активно интегрируемся в мировое пространство (ВТО, ОЭСР, АТЭС и т.д.), а с другой российские регуляторы не хотят принимать чужие правила игры (например, отказ от подписания Будапештской конвенции по киберпреступности), пытаясь навязывать свои требования. То заместитель секретаря Совета Безопасности (бывший руководитель НТС ФСБ) Николай Климашин едет в США обсуждать вопросы международной кибербезопасности и реагирования на инциденты. То Россия разрабатывает Конвенцию по обеспечению ИБ в сфере информации. При этом Россия отказывается принимать "Декларацию о фундаментальных свободах в цифровой век", подготовленную ОБСЕ. Но весь мир тоже в долгу не остается. И проект Конвенции ООН был раскритикован США, и наш ГОСТ 28147-78 в качестве международного стандарта все-таки отклонили.
Вот таким мне запомнился год уходящий с точки зрения информационной безопасности. Завтра попробую сформулировать мысли о прогнозе на грядущий год дракона.

23.12.11

Политическое завещание Медведева и ИБ

За последн.. неделю произошло достаточно много событий, которые имеют прямое отношение к тому, куда будет развиваться информационная безопасность в России, а точнее, куда она не будет развиваться. 4 августа я сделал некоторый анализ того, куда дует ветер перемен и какие шаги предпринимаются нашими регуляторами (преимущественно в лице ФСБ) для развития ИБ в их понимании. За эти полгода тенденция обозначилась еще ярче - немало нормативных актов, отбрасывающих ИБ на годы назад и заставляя ее жить по правилам, присущим гостайне. Но оставалась надежда, что либерализация ИТ и ее направленность на западные стандарты поможет вытянуть и информационную безопасность.

Но последние события показали, что ближайшие пять-шесть лет жить нам будет весело. Итак, первое - комитет Государственной Думы по информатизации был закрыт и его функции перешли в комитет по культуре (!). Можно себе представить, какой приоритет будет у ИТ-инициатив под руководством Говорухина, который к ИТ имеет, мягко говоря, не самое прямое отношение и который не раз говорил, что отечественная культура в опасности. Спасая ее, ИТ в Госдуме будет на задворках.

Можно было бы надеяться на то, что эту тему будут поднимать в Комитете по безопасности. Как я писал в 2008-м году, "комитет по безопасности в первую очередь ориентируется в своей работе на борьбу с терроризмом, госбезопасность и иные аналогичные по масштабу вопросы". Но он хоть что-то делал и там были люди, которые понимали проблематику. Но в нынешней состав Госдумы они не прошли, комитет переименовали в комитет по безопасности и противодействию коррупции, а сам комитет возглавила бывший инженер по охране труда и помощник прокурора - Ирина Яровая (мандат ей достался от Медведева, отказавшегося сидеть в Госдуме). Срежи 75-ти законопроектов, в которых они принимала участие, нет ни одного причастного в ИТ и ИБ. Да и новые члены комитета тоже не были замечены в активной деятельности в этом поле.

Что у нас дальше? Минкомсвязи. В 2008-м я уже писал, что человек, бывший журналистом из кремлевского пула, а затем возглавивший службу кремлевского протокола, в ИТ разбирается не сильно и максимум на что его хватит - это регулировать цифровизацию телевидения. Так и произошло. Никаких серьезных проектов по развитию ИТ нет и не предвидится; тему ИБ сдали в ФСБ.

Вчера назначенный новый глава кремлевской администрации. Сергей Иванов. Бывший министр обороны. Друг Путина. Человек, чей сын сбил на машине насмерть человека и был отпущен на свободу "за отсутствием состава преступления" (дело было закрыто). К модернизации и ИТ никакого отношения; он скорее ретроград как и многие люди его возраста в отношении ИТ. Стучать одним пальцем по клавиатуре - это его максимум. О чем еще говорит нам такое назначение главы администрации пока действующего президента? Иванов - не человек Медведева. Последний прочил Суркова на эту позицию (он как раз был и.о.). Но Путин уже расставляет своих людей на ключевые позиции. А это значит, что последние 4-5 месяцев все, даже благие начинания Медведева уже никого не волнуют. Его уже ни во что уже не ставят. Пусть играется... Это примерно как на моем рабочем месте появятся чужие вещи и фотографии чужих детей. Об этом же, кстати, говорила и прямая связь Путина с народом - о Медведеве, как пока еще действующем главе государства, ни слова. Все упоминания слова "президент" только в контексте себя.

Кстати, о Путине. Он тоже не большой любитель Интернет и информационных технологий. Он это не раз заявлял. Никаких серьезных шагов в части информатизации он не делал; ни когда был президентом, ни когда стал премьером. В его прямой речи с народом, которую многие воспринимают как президентскую программу об ИТ тоже ни слова. А в новой версии федеральной программы "Информационное общество 2012 - 2020", которую переутвердил Путин на днях, акцент сместили с реальной работы на пропаганду - чуть ли не половина от 130 миллиардов (и это только в 2012 году) уйдет на нагревание воздуха. Часть программы, связанной с безопасностью, правда, увеличила в части финансирования (с 3,3 до 11 миллиардов в 2012-м году), но отвечает за нее ФСБ, а мы знаем, что думает ФСБ о либерализации и современных подходах в области ИБ.

Что у нас еще произошло, что имеет отношение к развитию ИТ? Вчерашнее послание Президента... Но это уже и не послание, а завещание. Рассматривать его серьезно большого смысла нет - я не уверен, что кто-то будет хоть что-то делать то, что сказал Медведев. За оставшееся время это просто не успеть, а в мае пройдет инаугурация Путина и он будет делать все так, как он считает нужным.

22.12.11

Зашел на сайт Ростелекома


21.12.11

Электронная подпись, Россия и ЮНСИТРАЛ

Вот интересно, с учетом вступления России в ВТО, что нам теперь делать с электронной подписью? Насколько я понимаю, наш ФЗ "Об электронной подписи" не соответствует международным требованиям, которые приняты во многих странах ВТО. Эти страны руководствуются обычно документами и правилами, подготовленными ЮНСИТРАЛ - комиссией Организации Объединенных Наций по праву международной торговли. В 1996-м году 4-я рабочая группа ЮНСИТРАЛ разработала типовой закон по электронной торговле, а в 2001-м - типовой закон об электронных подписях (наш ФЗ ему не соответствует). А в 2002-м рабочая группа занялась вопросами заключения договоров в электронном виде и сейчас вырабатывает ряд конкретных требований и правил, применяемых к тому, чему у нас посвящена только одна статья ГК РФ - 434-я (и то вскользь).

Вот я и думаю, как Россия теперь будет себя вести в этом вопросе? Опять пойдет своим путем или все-таки прислушается к мнение международного сообщества?..

Какой вид электронной подписи использовать?

Для меня (я в тему электронной подписи не сильно лезу) всегда существовал вопрос. Вот есть у нас ФЗ "Об электронной подписи", устанавливающий общие требования к ЭП. И есть проекты документов ФСБ, устанавливающие требования к конкретным видам ЭП - простой и усиленной. Но какой вид и когда использовать для меня всегда оставалось вопросом. И вот тут наткнулся на проект "Методики определения минимальных требований к электронной подписи, используемой для заверения документов, предоставляемых при обращении за получением государственных и муниципальных услуг", подготовленной Минэкономразвития. Да, он только для госуслуг, но и это уже нмало. На ее основе можно и свое что-то сделать и не требовать во всех случаях применять только усиленную квалифицированную ЭП.

Чем реально занимается ФСТЭК

Для большинства специалистов по ИБ название "Роскомнадзор" связано с деятельностью по защите прав субъектов персональных данных. Хотя на самом деле это далеко не единственная и не самая основная сфера деятельности, которой занимается РКН. Изначально эта федеральная служба отвечала за надзор в сфере связи и СМИ. Это уже после на нее навесили несвойственные ей функции. Сейчас навешивают функцию защиты детей в Интернет и функцию лицензирования деятельности по изготовлению экземпляров аудиовизуальных произведений, программ для электронных вычислительных машин, баз данных и фонограмм на любых видах носителей.

Аналогичная ситуация и с ФСТЭК России. Исторически эта организация занималась в глазах многих технической защитой конфиденцальной информации (ТЗКИ). И мы все знаем ее именно с этой стороны, но... на самом деле складывается впечатление, что для ФСТЭК эта функция вторична. Судя по активности для ФСТЭК гораздо важнее задача обеспечения экспортного контроля (к слову, в названии этого федерального органа ни слова про защиту информации). Вот как, например, выглядит распределение в нормотворческой деятельности ФСТЭК (провел анализ проектов НПА, которые ФСТЭК разместила у себя на сайте).

При такой картине может и не стоит от них ждать ничего серьезного в области ИБ?..

20.12.11

А взлом компании связан с падением курса акций?!

В продолжение начатой сегодня темы про связь раскрытия информации об уязвимости и падением курса акции обратимся к теме, которая близка не только разработчикам софта, но и любому акционерному обществу (по крайней мере за пределами России). Насколько взлом компании влияет на курсовую стоимость ее акций? Существует 4 исследования на эту тему, которые показывают следующие результаты:
  • Гордон, Лёб и Жу - 2003 год - падение в среднем на 2%
  • Кавузоглы, Мишра и Рагхунатан - 2004 год - падение в среднем на 2.1%
  • Хова и Д'Арси - 2003 год - связи не обнаружено
  • Каннан, Рис и Сридхар - 2004 год - падение на 0,73%.

Как связаны Vulnerability Disclosure и падение курса акций?!

Тезис о том, что качественное и защищенное ПО лучше наколеночных и дырявых поделок мало у кого вызывает сомнение. Как минимум на уровне восприятия. А вот вопрос о раскрытии информации об уязвимостях в ПО (Vulnerability Disclosure) регулярно вызывает дискуссии на различных конференциях и страницах профессиональной прессы. Раскрывать или нет? Похвалить исследователя или наказать? Вопросов много. На один из них - "Как влияет раскрытие информации об уязвимостях на курс акций разработчика ПО? - дан ответ исследователями Института Карнеги Меллона.

В результате 5-тилетних исследований Рауль Теланг и Сунил Ваттал пришли к выводу, что в среднем вендор теряет около 0.6% от стоимости акций при опубликовании информации об уязвимости. При этом в зависимости от условий опубликования и типа уязвимости величина падения может меняться. Например, если патча к моменту опубликования информации об уязвимости нет, то величина падения будет выше. Также она будет выше, если уязвимость имеет отношение к нарушению конфиденциальности. Также рынок меньше наказывает вендора падением цены акций, если публикация уязвимости была сделана самим производителем, а не третьей стороной (независимым исследователем или конкурентом). И, наконец, падение курса акций выше, если опубликование факта наличия уязвимости произошло в популярной прессе, а не в специализированных СМИ. При этом влияние на курс акций имеет место быть только в первый день опубликования - во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает.

Не притянуто ли за уши данное исследование к стоимости акций? Исследователи говорят, что нет и в качестве доказательства приводят такую логику. Поставщик тратит время и деньги на устранение уязвимости, разработку патча и распространение его среди клиентов. Это повышает стоимость ПО и снижает прибыль. Довод 2. Установка патча снижает лояльность клиентов, которые меньше обращаются к поставщику ПО, а то и вовсе уходят к конкурентам. Опять уменьшение потока денежных средств.

Какие выводы можно сделать из этого исследования? Ускорять вывод продукта на рынок с целью обхода конкурентов может быть и надо, но не в ущерб тестированию качестве и защищенности ПО. Затраты на устранение уязвимости обойдутся дороже.

19.12.11

Теория доверия в компьютерных сетях

Фундаментальный вопрос: "Как я, человек, могу доверять информации, получаемой из Интернет?" Я читаю статью на Википедии. Как я могу доверять ее содержимому? Мы должны доверять
  • человеку, который написал эту статью,
  • компьютеру, который хранит этут статью,
  • каналу связи, по которому эта страница поступает читателю,
  • и, наконец, компьютеру, который получает эту статью и отображает ее читателю.

Ответу на этот вопрос посвящена т.е. теория доверия, которая описана в исследовании Вирджила Глигора и Джаннетт Винг из Институт Карнеги-Меллона. 

Как построить доверенную систему из недоверенных элементов?

Во время недавней поездки в США мне довелось поучаствовать в дискуссии на тему использования коммерческих продуктов по ИБ (для них обычно используется аббревиатура COTS - commercial of-the-shelf) в критичных приложениях и системах. Сейчас это достаточно распространенная тенденция в США, которые во многих случаях отказываются от применения специально разработанных приложений в пользу того, что доступно на рынке. Я спросил коллег, что они делают в таких случаях? Ведь исходных кодов зачастую нет; свидетельств грамотно выстроенного процесса разработки тоже. Да и вообще проверить, как разрабатывается приложение зачастую невозможно, т.к. эта деятельность осуществляется за пределами США и переносить разработку внутрь страны производитель не планируют по причине отсутствия серьезного бизнес-кейса. Во ФСТЭК бы сказали, что сертифицировать такую продукцию, как и обеспечить ее инспекционный контроль невозможно. Знакомая ситуация, не правда ли?

Ответ был прост - мы используем подход V-RATE (Vendor Risk Assessment and Threat Evaluation), предложенный еще в конце 90-х - начале 2000-х Институтом Карнеги-Меллона. Идея метода проста - компенсировать отсутствие исходных кодов и доказательств процесса разработки анализом рисков для самого производителя. На выходе мы получаем профиль рисков, состоящий из нескольких областей, в каждой из которых могут быть предусмотрены те или иные меры по снижению неудовлетворительного уровня проанализированных рисков.

В рамках V-RATE профиль рисков делится на две части:
  1. Элементы рисков, присущих производителю
  2. Элементы рисков, связанные с вашими навыками управления рисками при работе с производителями.
Последний кусок очень важен и показывает не только потенциальные проблемы разработчика анализируемой системы, сколько ваши собственные проблемы. Например, в рамках данного раздела оценивается ваше собственное умение и квалификация по анализу продукции разработчика. Возьмем к примеру ФСТЭК и продукцию SAP. Может ли представитель испытательной лаборатории, а за ним и орган по сертификации, на должном уровне оценить продукт, число инсталляций которого в России измеряется всего несколько сотнями? А если учесть, что SAP - это продукт не коробочный, а дописываемый под нужды конкретного заказчика? И проблема не в самом продукте, а именно в умении его проанализировать специалистами сертификационных лабораторий. Но вернемся к V-RATE. Из каких элементов состоит профиль рисков разработчика (показана только часть):
  1.  Элементы рисков, присущих производителю
    •  Видимость
      • Открытость - насколько открыт и доступен процесс дизайна и разработки продукта ?
      • Независимость испытательных лабораторий, оценивающих продукт (имеет значение, например, при использовании решений, сертифицированных по "Общим критериям")
    • Техническая компетенция 
      • История сертификаций продукции
      • Свидетельство приверженности стандартам и требованиям регуляторов
      • Разнообразие продуктов и услуг разработчика
      • Наличие отдельной команды, отвечающей за безопасность и надежность
    • Соответствие
      • Реагирование на запросы со стороны пользователей в части безопасности и надежности
      • Реагирование на запросы новых функций и улучшений
      • Готовность к сотрудничеству со сторонними испытательными и сертификационными лабораториями
    • Репутация
    • Уровень менеджмента
      • Финансовая стабильность
      • Условия работы с поставщиками и контрагентами
  2. Элементы рисков, связанные с вашими навыками управления рисками при работе с производителями
    • Ваша квалификация в области оценки качества продукта по различным показателям (безопасность, надежность и т.д.)
    • Ваша квалификация в области оценки компетенции производителя (по идее испытатель должен быть квалифицированнее испытуемого)
    • Ваше понимание существующих сертификаций и рейтингов производителя
    • Ваша независимость
    • Ваши навыки ведения переговоров
Пример раздела "Соответствие" профиля V-RATE:
  • патчи выпускаютсямаксимально быстро после обнаружения ошибки или уязвимости
  • пользователь может отключить ненужные функции, тем самым снизив риски от их использования
  • встроенные механизмы восстановления, например, автоматическое резервирование конфигурационных данных и восстановление состояния соединений
  • встроенные механизмы защиты, например, шифрование канала управление и защита паролей
  • следование практике SDLC и обучение разработчиков производителя вопросам безопасности и защищенного программирования (Cisco SecCon, как пример такого мероприятия).

16.12.11

Ежегодный отчет Cisco по ИБ

Cisco выпустила очередной ежегодный отчет по информационной безопасности, подводящий итоги года уходящего и показывающий тенденции года будущего. К ключевым тенденциям 2011-года мы отнесли социальные сети, облачные вычисления и доступ к корпоративным ресурсам с мобильных устройств. В целом никаких сюрпризов этот раздел не принес - об этом говорили практически все аналитики на протяжении всего года. Эти же темы стали ключевыми и на последнем в этом году семинаре RISSPA.

Одной из ключевых тенденций годы грядущего станет хактивизм, т.к. атаки без какой-либо выраженной финансовой подоплеки - только ради политических или идеологических целей. Движение Anonymous, LulzSec и WikiLeaks начавшись в 2011-м году продолжится и наши эксперты прогнозируют рост числа таких атак. Сказать, как это будет преломляться в России пока сложно. С одной стороны у нас таких событий почти нет, но не я не исключаю, что если мартовские выборы пойдут по предсказуемому сценарию, рост хактивизма в России может быть по экспоненте.

Второй тенденцией, которую мы отмечаем, станет "арабская весна" и вытекающая из нее потребность блокирования социальных сетей и иных средств коммуникаций. Россия тут не исключение и за последнее время только ленивый не высказался на тему запрета анонимности в Интернет и контроля над социальными сетями, которых могут прирывнять к экстремистским сайтам.

Несмотря на снижение объемов спама в мире Россия попала на второе место в Топ10 стран, занимающихся такой деятельностью. А вот США, бывшие в прошлом году лидером горячей десятки, уступили пальму первенства Индии (США при этом опустились на 9-е место). Неожиданно в тройку попал Вьетнам, а 4 и 5 места делят Корея и Индонезия. Индекс ARMS (заражение всего мира) немного снизился - с 6.8 в 2010 году до 6.5 в 2011-м, что также связано со снижением объемов спама.

Обновили мы и бостонскую матрицу киберпреступности. По сравнению с прошлым годом ситуация изменилась. Трояны, крадущие данные, и Web-эксплоиты переместились из разряда "звезд" в категорию "дойных коров". Т.е. эти технологии уже отработаны, больших затрат на поддержку не требуют, а денег приносят много. Мобильные угрозы из разряда "темных лошадок" перешли в разряд "звезд", что я и предсказывал в прошлый раз. А VoIP-угрозы пока остались в квадрате "темных лошадок". Фармацевтический спам ушел из "дойных коров" в "собаки", т.е. денег от него все меньше и постепенно он сойдет с арены киберпреступности.



Появились и новые "игроки". В частности взлом облачной инфраструктуры, который попал сразу в категорию "звезд". Учитывая тенденцию, через 2-3 года он вполне способен перейти в "дойные коровы". Еще одним новичком стали массовые взломы, которые используются киберпреступниками для сбора не самой важной информации (например, логины и пароли доступа к форумам), которая в дальнейшем может использоваться для превращения ее в деньги или более ценный актив.

Вот такие тенденции выделяются специалистами нашего центра исследований ИБ Cisco Security Intelligence Operations.

15.12.11

И вновь о контроле Интернет

Находясь в ожидании ответа г-на Путина, решил вернуться к теме контроля Интернета, которая недавно получила свое новое звучание. Вот здесь выложена моя презентацию по регулированию ИБ в России. На 85-90-м слайдах говорится как раз о контроле Интернет. 14 декабря к высказываниям МВД, Прокуратуры, РПЦ добавился еще и Совет Безопасности. Николай Патрушев в интервью "Аргументам и фактам" так ответил на вопрос: "Сегодня активно используются для продвижения различных интересов, в том числе завоевания и удержания власти, информационные технологии. Не пришло ли время ввести более жёсткий контроль за их использованием, например, в Интернете?" "Попытки пресекать общение людей в принципе контрпродуктивны и даже аморальны. Однако нельзя игнорировать использование Интернета преступниками и террористическими группировками. Разумное регулирование, конечно, должно осуществляться и в России, как это уже делается в США, Китае и во многих других странах мира. Этим целям полностью соответствует разработанная и предложенная в Екатеринбурге концепция Конвенции об обеспечении международной информационной безопасности".

Что это за конвенция мы помнимтут). Про китайский опыт написано вот тут. А про еще одну отечественную попытку законодательного запрета "неугодных" сайтов можно почитать тут. Так что ждем-с новостей в части регулирования Интернет.

Задай свой вопрос Путину!

Сегодня наш гегемон общается с плебсом и каждый мог задать ему свой вопрос, который, если повезет, будет озвучен в "прямом" эфире и на него, если повезет, лидер нации даст ответ. Я тоже не остался в стороне и задал такой вопрос: "Регулирование вопросов обеспечения информационной безопасности в России исторически возлагалось на ФСТЭК России и ФСБ России, которые следили за сохранностью сведений, составляющих государственную тайну. Эти органы вырабатывали требования по информационной безопасности и следили за их соблюдением. Однако в 90-х годах началась активно формироваться практика защиты иных видов тайн - коммерческой тайны, банковской тайны, налоговой тайны, врачебной тайны и еще нескольких десятков видов тайн, упомянутых в российском законодательстве. При этом подходы ФСТЭК России и ФСБ России не поменялись и остались теми же, что и 20 лет назад. При этом разработанные требования применяются не только к государственным и муниципальным органам, обрабатывающим служебную и государственную тайны, но и к абсолютно любому юридическому лицу и индивидуальному предпринимателю. Например, ФСТЭК России требует от каждого индивидуального предпринимателя наличия лицензии на деятельность по технической защите информации, мотивируя это тем, что по закону "О лицензировании отдельных видов деятельности" это обязательно и исключений ни для кого нет (даже для собственных нужд). В итоге коммерсантов обременяют избыточными и вводящими в дополнительные расходы требованиями, которые никак не влияют на защиту информации, принадлежащей самим же коммерсантам. Получается парадокс - владелец информации не может сам определить как ее защищать, а вынужден следовать требованиям ФСТЭК и ФСБ, которые практически не менялись с 90-х годов.

Учитывая активное развития информационных технологий, планируются ли изменения в данном вопросе? И если да, то какие и когда их примерно ожидать. Спасибо".

Теперь ждемс...

ЗЫ. Дабы предотвратить троллинг скажу, что я не особо надеюсь на ответ (особенно на адекватный ответ), но... под лежачий камень вода не течет и "делай, что должен, и будь, что будет". От меня в любом случае не убудет.

14.12.11

Проект ISO 27016

Давеча столкнулся с очередной версией проекта нового стандарта ISO 27016 по организационной экономике ИБ. Стандарт ну очень достойный и нестандартный в своей нетехнической направленности. Начинается он со слов: "Успешное управление ИБ требует строгого понимания взаимосвязи технических (например, баланс рисков и безопасности) и экономических (например, баланс преимуществ и затрат) подходов во всех аспектах ИБ, начиная от планирования, дизайна и внедрения и заканчивая управлением, улучшением и завершением жизненного цикла. Концентрация только на технических подходах применения защитных мер без учета и понимания влияния экономических факторов на "технику" не обеспечит на должном уровне защиту информационных активов предприятия".

Термин "экономика ИБ" часто воспринимается в двух смыслах - от банального бизнес-обоснования расходов на ИБ до поведения человека в условиях влияния различных угроз. Стандарт 27016 дополняет предыдущие стандарты 27-й серии и демонстрирует экономическую перспективу защиты информационных активов, помещая ее в социальное окружение, в котором существует организация. В заключение преамбулы сказано, что "в дополнение к традиционным внутренним организационным факторам, стандарт учитывает многие политические, социальные, регуляторные и другие внешние факторы, которые влияют  на то, как организация занимается защитой своих активов". И это действительно так.

Структура проекта стандарта такова:
  • Бизнес-цели, связанные с ИБ. Интересный раздел, в котором приводится перечень из 13-ти возможных целей, связанных с ИБ и при этом понятных бизнесу. Здесь же говорится о том, как и в чем измерять достижение бизнес-целей. Помимо чисто финансовой отдачи, она может носить социальный, репутационный характер, рост лояльности заказчиков и т.д.
  • Цели управления ИБ
  • Цена ИБ
  • Достижения системы управления ИБ
  • Приложения
    • Идентификация стейкхолдеров и целей. В этой части постулируется тот факт, что заинтересованные стороны в компании могут быть разные и интересы у них могут быть разные и при демонстрации ценности ИБ этим стейкхолдерам это надо учитывать. Опять мы приходим к тому, что нужно искать общий язык.
    • Взаимосвязь между экономическими решениями и ключевыми факторами, влияющими на эти решения
    • Экономические соображения при общении с руководством. В этой части стандарта говорится о возможных финансовых показателях, связанных с ИБ - снижение производительности, штрафы, потеря бизнеса, мошенничество, кража интеллектуальной собственности и т.д.
    • Приложение экономики к разным циклу PDCA
    • Модели экономики ИБ
    • Экономика в оценке защитных мер. Приводится структура затрат на различные виды активностей ИБ - сертификацию, обучение и повышение осведомленности, анализ рисков, операционные затраты и т.д.
    • Пример расчета экономики.
Основное внимание уделяется общению безопасников со стейкхолдерами и тому, как им презентовать тему ИБ. Постулируется известная идея, что с бизнесом надо говорить на языке бизнеса, а не уязвимостей и "файрволов".




В стандарте даже упоминается понятие "асимметрии информации", о которой я уже писал пару лет назад. Не обошлось и без финансовых моделей оценки ИБ - ROI, NPV и других.

Подводя итог беглому анализу проекта стандарта ISO 27016 можно сказать, что он очень достоен и может быть взят за основу построения системы взаимоотношения безопасников с бизнесом.

13.12.11

О чем обычно говорят на внутренних конференциях по ИБ

Давеча слушал различные выступления на внутренней конференции Cisco SecCon. Собственно, задача данной конференции рассказать сотрудникам Cisco о тенденциях в области хакинга и о том, как им противостоять, как правильно писать защищенные программы, ну и т.д. Вторая часть интересна только нашим программистам, т.к. там изучаются такие темы как
  • Защищенное программирование на C/C++
  • Защищенное программирование для Java/Web
  • Фундаментальные основы тестирования ПО с точки зрения ИБ
  • Расширенное тестирования ПО с точки зрения ИБ: Fuzzing
  • Тестирование приложений с точки зрения ИБ
  • Статический и динамический анализ кода
  • И т.д.
А вот первую я прослушал с большим интересом. Особенно доклады приглашенных спикеров. Среди них директор по исследованиям в области ИБ Akamai, специальный агент Секретной Службы США, эксперты Verizon и Comcast, а также специалисты CERT/CC.

Слушать их было интересно и... страшно... для меня, как гражданина России. По их словам вся угроза киберпространству идет из России ;-( Особенно интересно было слушать спецагента US Secret Service, который рассказывал про реальные случаи ведения и задержания русских (там и граждане Эстонии были, но их упорно называли русскими) хакеров. Познавательный доклад ;-) Кстати, Секретная Служба США - основной орган по расследованию "электронных" инцидентов Америке (в моем курсе про это чуть более подробно).

Отличный рассказ от эксперта CERT/CC по тому, как писать защищенные программы, какие ошибки обычно делают программисты, какие практики должны быть внедрены для реализации SDL, какие инициативы запущены CERT/CC для решения этой задачи. Хоть я уже и давно не программист, но было интересно. Кстати, недавно обновили SAMATE - свободно доступный онлайн-инструмент, содержащий классические ошибки при написании кода на Java, C и C++. 175 категорий, 60000 специфических ошибок!

Уже от наших спецов была классная презентация по сертификации по требованиям ИБ. В целом идея с оценкой соответствия правильная; вопрос только в реализации. В презентации как раз рассматривались различные схемы сертификации (преимущественно американские) - "Общие критерии", FIPS, DoD UC ACL, I3MP, их особенности, требования, подводные камни. Если бы у нас был бы более грамотный подход к сертификации, то и вопросов бы к ФСТЭК и ФСБ было бы гораздо меньше.

ЗЫ. Из забавного - в презентациях как минимум 5 выступающих встречалась вот эта, ставшая уже классикой, иллюстрация.


12.12.11

Blue Coat была приобретена частным инвестиционным фондом

9 декабря компания Blue Coat, известная на рынке Web-безопасности, была приобретена частным американским инвестиционным фондом Thoma Bravo за 1.3 миллиарда долларов. Надо заметить, что это не первая инвестиция Thoma Bravo в рынок ИБ. Под ее управлением уже находятся такие компании второго эшелона как Entrust, LANDesk, SonicWALL и Tripwire. Ранее Thoma Bravo управлял и NetIQ, пока последняя не была продана Attachmate Corp.

О системе идентификации граждан

6-го декабря я уже писал о подписании Постановлении Правительства по созданию единой системы регистрации и идентификации граждан в рамках всей России. Заработать система должна в апреле, но до сих пор нет четкого понимания того, на базе чего должна строиться такая система. Выделяют три разных способа, от выбора которого зависит дальнейшая судьба всей системы:
  • единый, несменяемый в течение всей жизни номер
  • номер, изменяемый в связи с переменой данных человека
  • использование совокупности номеров для идентификации.
При этом чиновники по своей традиции считают идеальным вариантом "наличие единого ресурса, который является первичным для любых других информационных ресурсов, содержащих и накапливающих данные при осуществлении своих функций". Именно в этой единой базе должны храниться идентификаторы граждан. И скорее всего к этом все идет. Но пока (и врядли к апрелю эта задача будет решена) возникает проблема - на базе чего строить такую единую базу? Существует  нескольких баз, которые содержат большой объем информации о гражданах и продолжают накапливать их для выполнении своих функций (ФМС, ФНС, ПФР, Росреестр, МВД и т.д.). Какая из них возьмет верх пока непонятно ;-( Но при АДЭ, например, создана недавно рабочая группа, которую возглавляет представитель Пенсионного Фонда РФ.

9.12.11

Медведев поручил Путину признать международные стандарты по ИБ

Сегодня Президент Медведев подписал перечень поручений по итогам заседания Международного консультативного совета по созданию и развитию международного финансового центра в Российской Федерации 28 октября 2011 года. Среди них:
  • рассмотреть вопрос о целесообразности смягчения требований к вывозу отечественных шифровальных (криптографических) средств за рубеж и о признании международных стандартов в области защиты информации и представить соответствующие предложения.
Поручение дано Путину В.В. Срок - до 1 марта 2012 года.

Судьба открытого письма Президенту

Сегодня, 9-го декабря, спустя 5 месяцев после публикацией нами открытого письма Президенту по поводу внесений изменений в ФЗ-152, хотелось бы подвести промежуточные итоги. Письмо, отправленное через Администрацию Президента, было направлено по подведомственности в Минкомсвязь, в Департамент создания и развития информационного общества. Была организована встреча с руководством Департамента, на которой нас пригласили к совместной работе над подзаконными актами, которые должны выйти во исполнение нового, на тот момент еще законопроекта.

Нами было предложено несколько идей:
  1. Внести в КоАПП и УК РФ (здесь надо уточнить просто формулировку ст.138 УК РФ) ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.
  2. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».
  3. Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.
  4. Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.
  5. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие факта утечек ПДн субъектов.
Нам ответили, что это лозунги, а и нужно не то, "что нужно сделать (разработать и пр.....) в смысле процесса, а как сделать это сделать (конкретные методики, формулировки статей) в смысле конкретной реализации".

Алексей Волков, Александр Токаренко, Александр Бондаренко, Женя Царев и я предложили конкретные формулировки там, где это можно было сделать (п.1, 2 и 5).

Ответом нам стало "Статус Ваших предложений - предложения-)).  К сожалению, большая часть из них не по-нашему столу. Они больше для наших коллег по этому процессу. Сейчас для нас основная задача - подготовка подзаконных актов, в том числе требований. Как они будут подготовлены, так и будет работать закон. Ваши предложения мы постараемся учесть на этом этапе, хотя я уверен, что и мы и Вы еще не раз будем это обсуждать".

В рамках дальнейшей дискуссии выяснилось, что у нас есть возможность поучаствовать в формировании содержания двух Постановлений Правительства:
  • «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных»
  • «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных».
Дальше началась работа, которая длилась около двух месяцев с переменным успехом. В итоге под руководством Алексея Волкова родился документ под названием "ПРЕДЛОЖЕНИЯ по вопросу формирования подзаконных актов, определяющих уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных и требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных в соответствии с п. 1 и 2 ч. 3 ст. 19 Федерального закона №152-ФЗ "О персональных данных".

Александр высказал мысль, что представленная схема слишком сложна для восприятия , а это в свою очередь означает, что либо законодатели не поймут и не примут документ в таком виделибо операторы поймут еще меньше и начнутся премудрости. Консенсуса у нас в группе найдено не было и предложения были в двух вариантах - как предлагал Алексей и как предлагал Александр.

В ноябре появилась информация о промежуточных результатах. Правительство поручило разработку указанных выше двух Постановлений ФСТЭК и ФСБ и Минкомсвязь переслал наши предложения регуляторам, которые должны утвердить указанные документы в 1-2 кварталах следующего года. Теперь остается только ждать...

8.12.11

Нургалиев о фейс-контроле

Многие видели сегодняшнее заявление Нургалиева, который опроверг слова своего подчиненного Алексея Мошкова (начальник БСТМ) о том, что в Интернет надо запретить анонимность. "Это глупость, никто этого вводить не собирается", - сказал Нургалиев сегодня, 8-го декабря 2011 года. Правда два года назад г-н министр заявлял совсем другое: "Необходимо исключить анонимность пользователей при регистрации в Интернете. Правоохранительные органы совместно с заинтересованными министерствами и ведомствами, бизнес-сообществом в области оказания услуг связи должны проводить постоянную работу по повышению регистрационной дисциплины".

И чему верить? Это был просто вброс для проверки реакции народа или он действительно поменял за 2 года свою точку зрения?

Немецкая cynapspro вошла в состав Infowatch

Несмотря на новости о том, что Infowatch Натальи Касперской купила немецкого антивирусного производителя, все не совсем так ;-) Это полправды. Действительно немецкая cynapspro вошла в состав Infowatch. Но cynapspro выпускает полноценное средство для защиты персональных и мобильных устройств, включающее в себя и механизмы контроля утечек (DLP), и управления мобильными устройствами (MDM), и локального шифрования, и контроля приложений на ПК, и надежного удаления данных. Детали сделки не разглашаются, но врядли сумма покупки велика - доход cynapspro измеряется даже не десятками миллионов евро в год.

Достаточно интересно будет посмотреть, сможет ли Наталья Касперская повторить успех Лаборатории?..

Мнение АРБ на тему нового ФЗ-152

В январе я писал про открытие Консультационного центра АРБ по вопросам ФЗ-152 и СТО в контексте персданных. За это время КЦ выпустил 4 разъяснения по ключевым вопросам, возникающим у банков в разрезе применения СТО и ФЗ-152. И вот новое письмо - уже по поводу новой редакции ФЗ-152, подписанной президентом 25-го июля. Преамбула к письму следующая:

В настоящее время Банком России совместно с Роскомнадзором, ФСБ России, ФСТЭК России проводится работа:
  • по согласованию подходов к выполнению банковской системой РФ требований новой редакции ФЗ "О персональных данных";
  • по изучению вопроса о целесообразности внесении изменений в Комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы РФ"
  • рассматривается возможность выпуска новой редакции письма-обращения Банка Росси, Ассоциации российских банков, Ассоциации региональных банков России (Ассоциация "Россия") и регуляторов.
29 животрепещущих вопросов и ответов на них. Например, РКН признает, что фотография будет относиться к биометрическим ПДн только при условии ее соответствия требованиям ГОСТ 19794-5-2006. Обработка резюме без согласия. ПДн при международных транзакциях. Сертифицированные СЗИ. Срок хранения ПДн уволенных сотрудников или клиентов, договоры с которыми расторгнуты. Статус "письма шести". Статус ПП-687 в свете новой формулировки термина "автоматизированная обработка ПДн". И т.д.

Очень полезный документ сделал КЦ, собрав от банков вопросы и получив на них ответы от ФСТЭК, ФСБ и РКН, представители которых входят в КЦ.

7.12.11

Новая версия курса по персданным

Обновил курс по персданным (текущая версия 4.2). Последние изменения:
  • Развитие темы про коллекторские агентства
  • Статистика РКН по обращениям и проверкам (по состоянию на 31.10.2011)
  • Про 2-х новых регуляторов – Прокуратуру и УСТМ МВД
  • Про право проведения проверок ФСТЭК/ФСБ по новому ФЗ-152
  • ст.272 УК РФ как наказание по части ФЗ-152
  • Развитие темы о ближайших родственниках
  • Рассмотрение Web-сайта с точки зрения ИСПДн
  • О возможности получения согласия субъекта ПДн по телефону и через Интернет
  • Уничтожение ПДн
  • Получение ПДн не напрямую от субъекта
  • Сегментация ИСПДн на сетевом оборудовании
  • Что нового в ФЗ-152?
  • Статистика по переходу на СТО Банка России
  • Планы развития СТО Банка России
  • Пояснение по системе сертификации средств защиты в России
  • Новый ответ ФСТЭК по лицензированию ТЗКИ
  • Электронные архивы и положение Банка России 2346-У
  • Новые основания обработки ПДн о судимости
  • Введение в стандарт НАУФОР по ПДн

6.12.11

Назначен орган, ответственный за электронную подпись

28-го ноября Правительство утвердило Постановление РФ от 28.11.2011 N 976 "О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи". Им назначен Минкомсвязь.

Единая система идентификации и аутентификации России

28-го ноября было подписано Постановление Правительства № 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".

С 15-го апреля следующего года эта система должна заработать и каждый пользователь сайта госуслуг должен иметь собственный персональный идентификатор. Ждемс...

С точки зрения защиты этой системы никаких деталей нет - в Постановлении просто написано "в соответствии с действующим законодательством".

5.12.11

Распоряжение Правительства от 24 ноября 2011 г. №2127-р

Путин подписал распоряжение "Об определении национального координирующего органа Российской Федерации в сфере обеспечения информационной безопасности в рамках Организации Договора о коллективной безопасности". Органом назначена ФСБ.

Защита информации в ТЭК вне регулирования?

В июле молодой Президент подписал закон "О безопасности объектов ТЭК", в котором была прописана необходимость защиты объектов топливно-энергетического комплекса от различного вида угроз, включая и информационную безопасность ТЭК. Согласно этому закону должны были появиться требования по обеспечению безопасности объектов топливно-энергетического комплекса и требования по антитеррористической защищенности объектов топливно-энергетического комплекса. И вот на сайте Минэкономразвития появился Проект постановления Правительства Российской Федерации "Об утверждении требований обеспечения безопасности объектов топливно-энергетического комплекса и требований антитеррористической защищенности объектов топливно-энергетического комплекса". Разработчик акта - Минэнерго России. Но...

В п.1.3 указанных требований система ИБ ТЭК явно выведена из под действия данного постановления. Подразумевается, что должны быть разработаны другие требования? Или что на ТЭК будут распространяться требования к КСИИ? Или еще что-то?

Новое Постановление по лицензированию разработки СЗИ от ФСТЭК

На сайте Минэкономразвития размещен текст проекта Постановления Правительства Российской Федерации "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации", о котором я писал в октябре. Разработчик акта - ФСТЭК России. Регулирует оно как и предыдущее 532-е постановление деятельность ФСТЭК и ФСБ по разработке средств защиты конфиденциальной информации.

Все комментарии были уже раньше, когда проект выкладывался на сайте ФСТЭК.

2.12.11

За кого я пойду голосовать

В воскресенье у нас выборы. И хотя как поется в песне "выборы, выборы, кандидаты - ...", в этот раз я решил не игнорировать данное событие. Именно по этой причине я решил чуть ли не в первый раз изменить правилам этого блога и написать в будни не про безопасность. Пост в субботу будет бессмысленным; да и могут посчитать за предвыборную агитацию.

Верю ли я в честные выборы? НЕТ! Читая Интернет, я вижу какие попытки предпринимаются властью для того, чтобы получить свои проценты. Сделать с этим ничего нельзя ибо и ЦИК и суды кормятся у нас с руки той самой власти. В статье Esquire хороший анализ прошлых выборов с точки зрения математики. Исходных данных я, конечно, не вижу и можно предположить, что автор также подтасовывает факты, как и ЕдРо, но... Все-таки его выкладки совпадают с моими ощущениями.

Не ходить на выборы? Логичное на первый взгляд решение - "ведь мой голос ничего не решает", "все и так предрешено"... Но... Есть одно "но". Где гарантия, что вас за вас не посчитают? Я более чем уверен, что посчитают. Бюллетень-то ваш будет на избирательном участке и в 8 вечера за вас там поставят нужную галочку. Стащить бюллетень примерно тоже самое, что и не ходить - результат будет тот же - к концу дня выборов число бюллетеней все равно доведут до совпадающего с числом избирателей, приписанных к участку.

Испортить бюллетень? И что? Это повлияет на результат выборов, но не так, как вы думаете. Выборы считаются ПРОПОРЦИОНАЛЬНО числу поданных  голосов. Поэтому даже если неиспорченных бюллетеней будет 50%, то именно это число будет считаться за 100% и в итоге партия жуликов и воров (как и другие партии) увеличат относительное число своих голосов. В статье Esquire это хорошо показано.

А вот дальше вариантов ровно два - или голосовать по методу Навального ("за любую партию кроме ЕдРа") или за какую-то конкретную партию. Первый вариант мне не нравится своей бестолковостью и неуправляемостью. Чуть подумав, можно этот вариант улучшить, выбрав конкретно одну из оставшихся партий. Возникает вопрос - какую?

КПРФ? Они и так пройдут в ГД. Да и далек я от мысли, что они что-то реально могут сделать. Наезжать на партию власти - да. Предлагать реальную альтернативу? Нет. Хотя и другие партии в этом плане не лучше. Поэтому исходить надо из принципа - голосую не "за", а "против". Жириновский?... Он умный мужик - я слышал его на заседаниях в ГосДуме. Но... Не знаю. Не верю я ему. Балабол он все-таки и популизпопулист. Правые и патриоты?.. Ну это вообще полный отстой. Их не видно и не слышно. А "Правые" так и вовсе подставились во время их съезда. Кто у нас остается? Яблоко и "Справедливая Россия".

Явлинский свой шанс упустил много лет назад. Да и договариваться он не умеет. Столько раз ему предлагали альянс создать, а он ни в какую; мол я один тут самый умный. Да и просыпается он только тогда, когда выборы, а в промежутке его не слышно и не видно. Остаются эссеры. Ну эти, особенно после демарша против "Голоса", и говорить особо не хочется. Хотя там есть и достойные люди; та же Хаванская.

Стою перед выбором. Вот Плющев путем таких же примерно размышлений пришел к выводу, что справедливороссы - единственный лучший вариант из худших. Может быть. А может быть и нет. Не могу пока придти к окончательному решению. Но одно могу сказать точно. На выборы пойду и голосовать буду не за ЕдРо!

1.12.11

Статьи 272-274 УК РФ претерпели изменения

Закончим неделю очередной порцией изменений в законодательстве. Совет Федерации одобрил законопроект № 559740-5 "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации (в части совершенствования законодательства Российской Федерации)", внесенный в июне этого года Президентом Медведевым. Про него говорили и писали много, но почти никто не упоминал изменения, коснувшиеся "наших" трех статей 28-й главы УК РФ.

Текст 272-й статьй (про неправомерный доступ к компьютерной информации) поменялся несильно, но зато к ней появилось примечание, разъясняющее, что крупный ущерб - это 1 миллион, а компьютерная информация - это сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. С последним определением есть куча нюансов.

Начнем с хранения. Самый простой пример - CD с базой данных. По новому определению он не относитсяк компьютерной информации ведь электрических сигналов там нет. Это в чистом виде оптический сигнал.Я не большой специалист в хранении данных, но, имхо, там не только электрические сигналы используются. А ведь есть еще сигнал электромагнитный и сигнал акустический. Если с акустикой проблем вроде бы нет, то что делать с перехватом данных в радиоэфире (GSM, Wi-Fi, 3G, LTE и т.д.)? Это не электрический, а именно электромагнитный сигнал, который не попадает в определение компьютерной информации. А вернувшись к оптическому сигналу применительно к передаче данных мы получим обычную оптику, которой опутан сегодня весь мир. Ее взлом тоже теперь в рамках закона.

Поменяли и "вирусную" статью 273. В нее добавили про злой умысел, а также поменяли сам текст. Под нее теперь попадают не только вирусы и программы для удаленного управления ПК, но и любые иные программы для нарушений свойств информации. Но что интересно, статья предусматривает также наказание за использование информации предназначенной для нейтрализации средств защиты. Вот интересно выступления на ZeroNights или PHD, рассказывающие об уязвимостях и тактике хакеров, попадают под это определение? Или есть зыбкая надежда, что можно рассчитывать на фразу "заведомо предназначенных для несанкционированного"?..

274-ю статью несильно поменяли, но на и тогда и сейчас врядли будет работать.

30.11.11

Новое постановление по лицензированию деятельности в области шифрования

На сайте Минэкономразвития размещен текст Проекта постановления Правительства Российской Федерации "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя". Разработчик проекта акта - ФСБ.

Первое, что бросается в глаза - список исключений, на которые не распространяется новое Постановление. Эти изменения касаются и формулировок (которые не всегда стыкуются с аналогичными формулировками в законодательстве о ввозе) и самого списка исключений - появились новые пункты. Достаточна интересно исключение, которое касается шифровальных средств, деятельность с использованием которых, касается только их эксплуатации. Если я правильно понимаю, то этот пункт говорит, что эксплуатация СКЗИ для себя не требует никакой лицензии.

Введено понятие "деятельности", под которое попадает 30 различных  операций - начиная от разработки, производства и модернизации СКЗИ, и заканчивая изготовлением, монтажем, инсталляцией, ремонтом, утилизацией, уничтожением и т.д.Более четко прописаны требования к квалификации специалистов.

На первый взгляд это все изменения, если не считать, что лицензия теперь одна, но при ее получении будут указаны конкретные виды деятельности (из 30-ти).

Роскомнадзор опубликовал план проверок на 2012 год

Роскомнадзор опубликовал проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных подразделений) и индивидуальных предпринимателей Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на 2012 год. 607 страниц текста. 4500 проверок в области связи, радиочастотного спектра и ПДн. Около 120 банков. Около 150 медицинских учреждений и т.д.

29.11.11

Награда нашла своего героя?!

Кто подписан на мой Twitter, тот видел, что в четверг утром я написал, что этот блог номинировали на Антипремию Рунета в категории "Безопасный Рулет" (через "л", а не "н"). Тогда я еще написал, что "спасибо, что заметили, но лучше бы и не замечали". Моя позиция была понятна - любая премия с приставкой "анти" сразу напоминает "Серебряную калошу", "Шнобелевскую премию" и кучу других, которые даются за сомнительные достижения в той или иной области. Мне кажется также думали и все, кто услушал название "Антипремия Рунета".

Однако у авторов премии была совершенно иная идея при выборе названия для своей награды. Основная задача Антипремии – обозначить важнейшие события и проекты Рунета, по тем или иным причинам обойденные официальными премиями и конкурсами. Антипремия Рунета – это неофициальный взгляд на русский Иинтернет. Антипремия ни в коем случае не ставит себя в противовес существующим премиям и конкурсам, а наоборот, дополняет их, выявляя важные проекты и ресурсы, к которым по тем или иным причинам не привлекается внимание широкой общественности.

И вот в четверг я узнал, что мой блог номинирован на эту Антипремию в номинации "Безопасный Рулет". В отличие от других номинаций, Премия за заслуги в области интернет-безопасности. Из 10-ти номинаций, 3 даются за сомнительные достижения, 5 - за положительные и 2 (среди них и "Рулет") - как за положительные, так и за сомнительные достижения. Именно этим и объяснялось мое недоумение - как я мог попасть в список номинантом, да еще и за сомнительные достижения?.. Если честно, то я до сих пор не понимаю, кто и зачем меня номинировал. Организаторы на этот вопрос не ответили, сказав только, что в случае с моим блогом премия носит позитивный характер и дана она за "повышение уровня безопасности Рунета".

Не знаю, как оценивать это событие. До сих пор не могу привыкнуть, что блог, которому недавно стукнуло 4 года, что-то заслужил. Все-таки не ради этого он создавался. Но все равно приятна такая оценка (если действительно речь идет об оценке со знаком "плюс"). В общем,награда получена - на месте стоять не будем - пойдем дальше.

28.11.11

Бизнес-модель киберпреступности

В пятницу выступал на ZeroNights с презентацией "Бизнес-модель современной киберпреступности". Один из немногих примеров, когда на подготовку презентации ушло около суток  - обычно времени уходит меньше. В данном случае пришлось поизучать тему более детально. Картина складывается нерадостная ;-( Особенно на фоне полной неспособности властей даже подступиться к этой теме. Поимок преступников нет. Наказания если и есть, то условные. Деньги выводятся, а у банков нет полномочий блокировать мошеннический вывод денег мулами. Сотрудники УВД всеми силами отталкивают такие дела или отправляют по подследственности, обрекая их на "глухаря". А БСТМ борется с контрафактом и детской порнографией.

25.11.11

ZeroNights vs PHD

Покинул ZeroNights. По дороге в аэропорт оцениваю конференцию и поневоле сравниваю ее с PHD. Но неблагодарное это занятие. Одна конфа в Москве, другая в Питере; одна весной, другая осенью. Аудитории тоже не пересекаются. Одна бесплатная, другая за деньги. На по приглашению только, на другую открытая регистрация. Стоит ли сравнивать?

ZeroNights показалась мне более сфокусированной на технике. Я себя там даже лишним почувствовал ;-) Напоминает американские Defcon или Blackhat по контенту. Обфускации, реверс-инжиниринг, эксплоиты, APT и т.д. На PHD баланс тем технической и обзорно-концептуальной направленности.

У PHD была лучшая организация. И в части питания и в части культурной программы. Место у PHD тоже было лучше выбрано. Зато на ZeroNights было больше молодежи, которая придет на смену (безопасникам или хакерам ;-)

Резюмируя: конфы разные и между собой никак не конкурируют. Так что посещать надо обе ;-)

- Posted using my iPhone

24.11.11

Облака и российское законодательство

Хотел я сегодня написать update по нашему письму Президенту в части изменения ФЗ-152, но что-то на CiscoExpo вымотался, да еще и к ZeroNights надо новую презу сваять. Поэтому ограничусь выкладыванием своей обзорной презентации по регулированию облачных вычислений в России, которую я вчера прочитал на CiscoExpo. Не могу сказать, что она ответит на все вопросы, но по крайней мере, она даст направление для размышлений в части составления правильного договора между клиентов и провайдером облачных услуг.

23.11.11

Особенности национальной стандартизации

Интересная судьба ждет ГОСТ Р "Система обеспечения информационной безопасности сети
связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи" и планируемый ГОСТ Р "Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки вероятности риска
причинения ущерба сетям и системам связи"

Первый стандарт разрабатывается уже давно - чуть ли не семь лет. Его инициаторами стали Транстелеком и ЦНИИС, а потом к ним присоединился и МТС. Стандарт достаточно интересен, т.к. впервые подводит некоторую базу под создание модели угроз, от которой затем будут "танцевать" требования по защите. На заседании ТК362, которое прошло в пятницу в Воронеже, стандарт представлял один из его разработчиков - Дмитрий Соболев. Он вышел с инициативой о переносе даты окончания разработки с 2011-го на 2012-й год и все бы ничего, если бы с комментариями не вышел представитель 8-го управления ФСБ.

Представитель ФСБ резко раскритиковал стандарт. Среди замечаний я отметил бы несколько. Во-первых, по мнению ФСБ в стандарте не учтены многие объекты/субъекты - облака, террористы, хулиганы и т.д. Во-вторых, модель воздействия, являющаяся частью модели угроз, по мнению ФСБ, позволяет сделать потенциальному нарушителю далеко идущие выводы, а следовательно она должна быть грифованной. В выступлении Мурашова Н.Н. из ФСБ вообще прозвучала идея, что эта информация относится к гостайне. Затем была высказана идея, что операторы связи у нас обрабатывают данные спецпотребителей, а следовательно предлагаемый ГОСТ вообще не должен быть публичным ГОСТом. А также что его надо сделать межведомственным документом и согласовать между ФСБ, Минкомсвязи, ФСО, Минобороны и рядом других ведомств. На веское замечание из зала и от авторов, что стандарт рассчитан не на спецпотребителей, а на операторов связи, работающих с обычными гражданами, Мурашов заявил, что среди основных задач ФСБ числится защита граждан от различных угроз и поэтому наших соотечественников надо защитить от тлетворного влияния Запада, которое проявляется в том, что 98% всего Интернет-трафика проходит через несколько ключевых серверов в Рунете, производителями которых являются иностранные компании (знакомо, не так ли). А раз так, то надо обязать операторов связи жить по такой модели угроз, чтобы иностранным спецслужбам и террористам было неповадно изучать сколько времени сидит в "ВКонтакте" школьница Маша, и на каких игровых сайтах просиживает студент Илья. Вообще, мне операторов связи жаль. Невесло им становится жить в последнее время.

ЗЫ. Вообще ФСБ явно перегибает палку со своим подходом к модели нарушителя/угроз. Недавно узнал от коллеги из госоргана, что на их публичный сайт ФСБ пытается натянуть модель нарушителя Н5. На публичный сайт!!! Для тех, кто не в теме, Н5 - это когда в качестве нарушителя рассматривается лицо, которое имеет возможность привлекать различные научно-исследовательские институты для изучения возможности проведения атак (чуть больше про модели нарушителя ФСБ тут). Т.е. это уровень государства или очень крупного монополиста в какой-либо области (уровня Газпрома). Зачем такая модель нарушителя для публичного сайта, не понимаю.

ЗЗЫ. Кто внимательно читал мой вчерашний пост, тот обратил внимание на то, что на 2012 год у Росстандарта запланирована гармонизация ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель". Однако напомню, что СоДИТ в прошлом году уже сделал перевод этого стандарта на русский язык. Нестыковка какая-то...

22.11.11

Лицензия ФСБ больше не будет препятствием для иностранных инвестиций - 2

В июне я уже писал, что в Госдуму был внесен законопроект, который выводит банки из под действия ФЗ "О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства". Ключевое изменение - деятельность банков в области криптографии исключается из видов деятельности, имеющих стратегическое значение и установленных статьей 6 закона 57-ФЗ. И вот? 17 ноября  Президент подписал этот законопроект. Но с оговорками...

Из под действия закона выведены только банки, в уставном капитале которых отсутствует доля (вклад) Российской Федерации. Т.е. на российские банки поправки в закон не распространяются. Но... и тут есть нюанс. Статья 2 пополнилась частью 9: "Настоящий Федеральный закон не распространяется на отношения, связанные с совершением сделок в отношении хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства, между организациями, находящимися под контролем Российской Федерации или под контролем граждан Российской Федерации, являющихся в соответствии с законодательством Российской Федерации о налогах и сборах налоговыми резидентами Российской Федерации (за исключением граждан Российской Федерации, имеющих двойное гражданство). Для определения факта наличия контроля Российской Федерации или контроля граждан Российской Федерации, являющихся в соответствии с законодательством Российской Федерации о налогах и сборах налоговыми резидентами Российской Федерации, над указанными организациями применяются по аналогии положения частей 1 и 2 статьи 5 настоящего Федерального закона".

Т.е., как это вижу я, на сделки между любыми российскими компаниями с лицензиями ФСБ закон не распространяется. На сделки между head office и дочками иностранных банков этот закон не распространяется. А вот на сделки других иностранных компаний этот закон распространяется. Кажется так...

Планы ТК362 на следующий год

В рамках программы национальной стандартизации на 2012 год ТК362 планирует разработку окончательных редакций проектов:
  • ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель"
  • ГОСТ Р ИСО/МЭК 27000 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"
  • ГОСТ Р ИСО/МЭК 27003 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по реализации системы менеджмента информационной безопасности"

Планируется разработка:
  • ГОСТ Р ИСО/МЭК 15408- 2, 3 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий"
    • Часть. 2. Функциональные компоненты безопасности"
    • Часть. 3. Компоненты доверия к безопасности"
  • ГОСТ Р ИСО/МЭК 18045-20ХХ "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий"

Планируется представление в Росстандарт ГОСТ Р 52633.6 "Защита информации. Техника защиты информации. Требования к индикации близости предъявленной биометрии к
образу "Свой". Планируется завершение разработки ГОСТ Р 52633.7 "Защита информации. Техника Защиты информации. Высоконадежная мультибиометрическая аутентификация" и ГОСТ Р 52069.0-ХХХХ "Защита информации. Система стандартов. Основные положения".

21.11.11

Итоги работы ТК362 за 2011 год

В 2011-м году в рамках Технического комитета 362 "Защита информации" проведено издательское редактирование и подготовлены проекты приказов о принятии следующих ГОСТов:
  • ГОСТ Р ИСО/МЭК 27004 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения"
  • ГОСТ Р ИСО/МЭК 27033-1 "Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции"
  • ГОСТ Р ИСО/МЭК ТО 15443-1 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 1. Обзор и основы"
  • ГОСТ Р ИСО/МЭК ТО 15443-2 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия"
  • ГОСТ Р ИСО/МЭК ТО 15443-3 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия"
  • ГОСТ Р 52633.3 "Защита информация. Техника защита информации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора"
  • ГОСТ Р 52633.4 "Защита информации. Техника защиты информации. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия-код доступа"
  • ГОСТ Р 52633.5 "Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа".

Также проводилась доработка следующих ГОСТов:
  • ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения"
  • ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования"
  • ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования".
В рамках программы национальной стандартизации на 2011 год были начаты работы по разработке следующих стандартов:
  • ГОСТ Р 52633.6 "Защита информации. Техника защиты информации. Требования к индикации близости предъявленной биометрии образу "Свой"
  • ГОСТ Р "Система обеспечения информационной безопасности сети связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи"
  • ГОСТ Р 52069.0-ХХХХ "Защита информации. Система стандартов. Основные положения" (декабрь 2011 года).
Также были разработаны первые редакции гармонизированных национальных стандартов:
  • ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Часть. 1. Введение и общая модель"
  • ГОСТ Р ИСО/МЭК 27000 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"
  • ГОСТ Р ИСО/МЭК 27003 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по реализации системы менеджмента информационной безопасности".
О планах на 2012-й год завтра...

17.11.11

Типы "принимателей" решений

Продолжая тему принятия решений по тому или иному проекту ИБ необходимо обязательно сказать, что принятие решения находится не всегда в руках одного человека. Хотя надо признать, что это один из самых распространенных вариантов, а точнее множеств вариантов:
  • Бизнес-монархия. Право принятия решения лежит только на топ- или senior-менеджере.
  • ИТ-монархия. Право принятия решения лежит на CIO или ИТ-директоре, которому подчиняется служба ИБ.
  • СБ-монархия. Право принятия решения лежит на CSO. Я на заре своей карьеры работал именно в такой компании. Будучи сотрудником отдела АСУ отвечавшем за информационную безопасность, я бешал к руководителю СБ за деньгами на те или иные задачи. А все потому, что у него был вес в компании (по сути он был чуть ли не вторым человеком).
  • Феодализм. Право принятия решения лежит на руководителе бизнес-подразделения, в интересах которого осуществляется проект по ИБ. Достаточно редкая ситуация в российских компаниях, в которых бюджеты на уровень подразделение может и спускаются, но свободы в расходовании денег у руководителей среднего звена нет.
  • Анархия. Право принятия решения имеет инициатор проекта по ИБ. Еще более редкая ситуация, чем предыдущая.

Преимущество "монархического" подходо в том, что груз ответственность за слова "да" или "нет" лежат на одном человеке, а значит понять его интересы и потребности, составить карту эмпатии гораздо проще, чем для группового принятия решений.

С точки зрения группового принятия решения, то их можно выделить два:
  • Дуополия. Право принятия решения делится между двумя группами; одной из них обычно является ИТ или ИБ.
  • Федерация. Право принятия решения разделяется между топ- или senior-менеджментом и руководителями бизнес-подразделений, к числу которых могут быть отнесены и ИБшники/ИТшники.

Последний вариант, пожалуй, самый правильный, но и достаточно редкий. Он требует от безопасности умения донести до бизнеса суть выносимых на обсуждение проектов по безопасности. Причем на языке бизнеса, а не безопасности. От бизнеса же требуется желание вникать в вопросы ИБ и оценивать предлагаемые проекты не с точки зрения "лишь бы поскорей закончилось", а с точки зрения рисков и перспектив для оценщика.