31.5.11

Операторы сдали всех приставам

23 мая Федеральная служба судебных приставов опубликовала пресс-релиз о том, что она договорилась с большой тройкой операторов о передачи последними в ФССП персональных данных должников в рамках исполнительного производства.

А вот тут сделан интересный анализ этого соглашения.

30.5.11

Многоуровневость мотивации реализации угроз

На Positive Hack Days, в секции по кибервойнам, выступал Сергей Гриняев, который в своем выступлении подкинул мне интересную идею в части многоуровневости мотивации в реализации угроз.

Допустим, фиксируем мы DDoS-атаку на сайт компании. Какие выводы мы можем сделать из этого факта? На поверхности лежит первый вывод - атака носит случайный характер и мы попали "под раздачу" веерной атаки. Но единственный ли это вариант? Разумеется, нет. Вторым мотивом может быть направленная атака на организацию. Третьим - желание скрыть за DDoS-атакой другой инцидент; например, мошенничество с банковским счетом организации на момент недоступности Интернет-соединения организации. Конец? Опять нет. Четвертым мотивом может быть желание злоумышленников бросить тень на опытного (и тем самым опасного) руководителя службы ИТ или ИБ с целью его "вывода из игры", а это в свою очередь может привести к реализации в последствии еще более серьезных атак на организацию.

При этом от понимания правильного мотива зависит, какие мероприятия по защите мы предпримем - от ничегонеделанья до усиления роли руководителя ИТ/ИБ и наделения его новыми полномочиями. Как оценивать вероятность того или иного мотива? Да почти никак ;-( В военном деле, как упоминал Сергей Гриняев, сейчас стали использоваться специализированные системы анализа, которые позволяют на основе изучения разрозненных источников информации, "предсказывать" реальные мотивы совершения тех или иных "акций".

ЗЫ. К чему я это? А сам не знаю ;-) Просто в голову пришло ;-) На практике пока мало кто оценивает мотивацию совершения инцидентов, за исключением тех, что лежат на поверхности.

27.5.11

ФСТЭК сменила директора

Реформа органов по ИБ продолжается. В феврале сняли Мирошникова (начальника БСТМ МВД). В апреле 8-й центр ФСБ покинул другой генерал, являющийся ключевой фигурой в части регулирования криптографии. Ранее ФСБ покинул руководитель НТС, первый зам директора ФСБ - г-н Климашин. И вот пришел черед ФСТЭК. Вчера, Президент Медведев подписал Указ о снятии директора ФСТЭК г-на Григорова и назначении его советником Президента (по каким вопросам непонятно). И также вчера первый заместитель Григорова - Владимир Селин, был назначен новым директором ФСТЭК.

Официальная мотивация неизвестна, но в июне г-н Григоров достигает предельного возраста нахождения на государственной службы. Собственно, аналогичная ситуация была и у всех вышеупомянутых силовиков.

Интересно, что у Медведева уже есть один советник, бывший силовик - Сергей Ушаков, бывший первый заместитель директора ФСО, бывший генеральный директор службы безопасности Газпрома. Что будет делать Григоров у Медведева не совсем понятно.

26.5.11

Российский рынок интеграции ИБ

Только сейчас дошли руки до упоминания исследования anti-malware.ru, посвященного отечественной рынку системной интеграции в области информационной безопасности. Собственно, оно интересно само по себе и сильно критиковать его я не буду ;-)

Хотя там и есть к чему придраться. В частности, анализ сделан поверхностный. Хотя я бы, будь на месте большинства аналитиков, сделал бы точно такие же выводы ;-) Причина в том, что эксперты anti-malware.ru исходили из общепринятого списка интеграторов в области ИБ, что не совсем правильно. Ведь существуют игроки, которые не всегда афишируют свои проекты в области ИБ. Я знаю еще, как минимум, две компании, которые стоило бы включить в указанный перечень интеграторов - их объемы бизнеса по части ИБ позволяют это.

Вторая моя "претензия" к цифрам - в некоторые из них я просто не верю. Как правильно заметил Женя Царев в своем Twitter, не может рынок ИБ вырасти в этом году на 40% только за счет ПДн. И показанные некоторыми интеграторами цифры немного не соответствуют инсайдерской информации, которая у меня есть. По поводу сохранения коллектива у некоторых участников Топ10 тоже большие вопросы. Только через меня прошло около 10-ти резюме одной из упомянутых компаний, а вообще ее покинуло несколько десятков человек за последнее время. Не вяжется это как-то с показанным в таблице ростом.

А еще мне непонятно, как в список средств ИБ попали системы резервного копирования, анализаторы протоколов и CASE-системы. При этом SIEM-решения в список не попали, как и средства прикладной безопасности. Да и с понятием интегратора тоже есть вопросы. Если этот тот, кто продает продукты по ИБ, то почему в списке нет Касперского? Он же продает в т.ч. и напрямую? А если речь идет об интеграционных проектах (а именно это отличает интегратора от обычного "box mover"), то как из них вычленить сетевое оборудование, сервера, ПО и т.п.?

ЗЫ. В-общем хотелось бы видеть анкету с ее вопросами ;-)

ЗЗЫ. А вообще составлять такие отчеты - вещь неблагодарная ;-)

25.5.11

Alcatel-Lucent уходит с рынка

Начну с анекдотичной ситуации. Нужно мне было на днях посмотреть информацию по решениям ИБ Alcatel (оказывается есть и такие). Ввожу в браузере alcatel.ru и чтобы вы думали?.. В заголовке страницы появляется надпись "Долго. Дорого. О...уенно". Я подумал: "Фигасе! Alcatel задефейсили". За это время сайт загрузился целиком и оказалось, что домен alcatel.ru принадлежит Студии Артемия Лебедева.

Мне стало интересно, неужели Alcatel ушел с российского рынка  и продал даже права на домен. Стал копать и наткнулся на заметку консалтингового агентства Canalys - "The future of Alcatel-Lucent's enterprise business", в котором аналитики Canalys анализируют судьбу Alcatel-Lucent и предсказывают его будущее. Краткие выводы таковы: после слияния Alcatel и Lucent доля корпоративного бизнеса Alcatel-Lucent в общем объеме катастрофически снизилась. При этом рост этого направления за последние два года отрицательный. Сейчас компания стоит перед задачей оптимизации своей деятельности и выхода на прибыльность. С этой целью сетевой вендор планирует сконцентрироваться на ключевых компетенциях и избавиться от непрофильных активов, к которым относится и корпоративный бизнес Alcatel-Lucent. Как говорят аналитики Canalys аналогичная ситуация была с Siemens и Nortel. Средства ИБ, наряду с решениям по контакт-центрам и Wi-Fi пойдут в расход.

К чему это все? К тому, что сложившаяся ситуация лишний раз показывает, что любая консолидация рынка и M&A-сделки могут нести не только позитив, но и негатив для клиентов поглощаемой компании. Не всегда интеграция компаний происходит успешно. В случае с Alcatel и Lucent ситуация усугублялась еще и тем, что к компаний были разные культуры и национальные особенности (одна канадская, другая - французская). Примеров таких немало, в т.ч. и на рынке ИБ (тут, тут и тут).

Поэтому я повторю свой тезис трехлетней давности - если Компания А купила Компанию Б, то необходимо выждать время, прежде чем покупать или продлевать поддержку на продукцию Компании Б. Может оказаться так, что продукты приобретаемой компании новому покупателю не нужны. Ведь причины покупки могут быть связаны как с желанием приобрести технологии для встраивания их в свои продукты, так и с желанием получить клиентскую базу или персонал приобретаемой компании. А может быть мотив был вообще - убрать конкурента путем его покупки. Особенно стоит опасаться ситуации, когда компания-покупатель не может озвучить четкую и понятную стратегию слияния и озвучить судьбу продуктов приобретенной компании.

Видимо с Alcatel-Lucent ситуация произошла аналогичная ;-(

24.5.11

Регулирование криптографии

Вы, наверное, помните mind map по регулированию криптографии в России? По ее мотивам была сделана презентация для Positive Hack Days. Не могу сказать, что она целиком отражает карту. Скорее это попытка выразить ключевые проблемы регулирования криптографии за 15 выделенных мне минут.

На IT & Security Forum в Казани, где мы являемся спонсором, я буду делать доклад по расширенной версии данной презентации, контент которой я планирую увеличить в 1.5-2 раза. Кому данная тема интересна - приезжайте в Казань ;-) Там будут раскрыты все тайны регулирования криптографии в России! А кто не сможет выбраться в столицу Татарстана, остается ждать, когда презентация будет выложена в блоге.

23.5.11

Примеры кибервойны

Моя вторая презентация с Positive Hack Days. Посвящена примерам проявления кибервойн.

21.5.11

Очередной блог

Многие знают, что у компании Cisco есть множество Web 2.0 ресурсов по безопасности:- блог - http://blogs.cisco.com/category/security/
- Twitter - http://twitter.com/ciscosecurity
- Facebook - http://www.facebook.com/ciscosecurity?ref=nf
- Flickr - http://www.flickr.com/photos/25679159@N03/
- YouTube - http://youtubecisco.com/security
- iTunes - http://itunes.apple.com/podcast/cisco-security-intelligence/id265668893

Там вы можете подчерпнуть немало полезной и актуальной информации по различным вопросам безопасности, связанным с решениями Cisco (и не только). На русском языке такой информации поменьше и поэтому мы не создавали отдельные социальные медиа-ресурсы по безопасности Cisco, сосредоточившись на наполнении единых для Cisco Russia каналов донесения информации до пользователей и партнеров. По этим единым каналам передается различная информация о деятельности Cisco, в т.ч. и по вопросам информационной безопасности.

К таким ресурсам относятся:
- блог – http://ciscorussia.wordpress.com/ (уже есть записи по безопасности)
- Twitter - http://twitter.com/CiscoRussia
- Facebook - http://facebook.com/CiscoRu
- Flickr - http://www.flickr.com/photos/ciscorussia
- YouTube - http://youtube.com/CiscoRussiaMedia (уже есть ролики по безопасности)
- ВКонтакте - http://www.vkontakte.ru/Cisco (уже есть обсуждения по безопасности)
- Slideshare - http://www.slideshare.net/CiscoRu 

Собственно, за наполнение российского блога по Cisco отвечаю, как это не странно, я ;-) Если кому-то интересно, то присоединяйтесь.

20.5.11

ГОСТ 28147-89 взломан!

На фоне попыток России сделать наш ГОСТ 28147-89 международным стандартом шифрования и потеснить с пальмы первенства AES, эти действия сопровождаются различными инсинуациями закулисных врагов России. Очередной виток началася на прошлой неделе, когда известный криптоаналитик Николя Куртуа заявил о том, что ему удалось взломать ГОСТ 28147-89.

Впечатления от Positive Hack Days

Ехал вчера с Positive Hack Days и размышлял о данном мероприятии. Несмотря на то, что это был "первый блин" Positive Technologies в части проведения мероприятий, комом он не вышел. Мне форум очень понравился.

Скажу больше - именно этот формат для меня оказался ближе всего и, на мой взгляд, в России он лучше всего подходит для мероприятий по безопасности. Ведь выставка, как таковая, уже мало кого интересует. Вендоры ничего нового на наших выставках не представляют, в отличие от их зарубежных коллег, приурочивающих крупные анонсы к различным серьезным конференциям. Послушать рекламные выступления можно пригласив вендора к себе в офис, а не тратя на это время на поездку по пробкам. Что у нас остается? Доклады и общение. Причем многим общение с коллегами даже важнее, чем сами доклады. Как это происходит на "InfoSecurity" или "Инфобезопасности"? Приходят люди. Ходят по стендам, тусят, общаются... в перерыве ходят на интересующие их доклады.

Positive Technologies, на стенде которой исторически собирается наибольшее количество людей, транслировал эту идею в PHD, который представлял собой по сути большой стенд с кучей переговорок, большим баром и местом для докладов ;-) PHD оказался не просто международным форумом по практической безопасности, а форумом живого общения, который собрал не менее 500 (а может и больше) человек. Кто хотел - общался, кто хотел - слушал доклады, кто хотел - участвовал в конкурсах по взлому, кто хотел - смотрел соревнования по взлому (Capture the Flag, CTF). Все живенько, перемежалось закусками, соками, кофе, аперитивом. Закончилось мероприятие не только фуршетом, но и выступлением группы "Несчастный случай", порадовав фанатов современной попсы ;-)

Деловая программа тоже была насыщенная - 6 параллельных потоков. 2 бизнес-секции, 2 технических секции, 2 секции мастер-классов. Доклады на любой вкус и уровень квалификации - от обзорных вещей до глубоко детальных мастер-классов по взлому Wi-Fi или АСУ ТП.

Были ли косяки? Я столкнулся только с одним. Моя дочь съела часть пороллонового мяча, кои в большом количестве раздавали на регистрации ;-)  Сама регистрация тоже прошла непросто - очень уж много было желающих попасть на мероприятие. За полтора часа окучить 500 человек оказалось непросто, но организаторы справились. Я с этой проблемой не столкнулся, приехав существенно заранее. Где-то я услышал, что были проблемы с онлайн-вещанием; вроде как качество было низкое. Не знаю, не видел. Но учитывая, что пока не было ни одного security-мероприятия с онлайн-вещанием, то этот косяк можно и не учитывать.

Про сам CTF ничего не скажу - для многих он скорее был фоном и интересным дополнением для посетителей. Т.к. не видно кто и как ломает/защищается, то просто было интересно смотреть на очки, набираемые американцами, в итоге и выигравшими конкурс по взлому. Конкурсы по взлому iPhone, лэптопа, оборудования Cisco или мастер-класс по открытию дверных замков были интереснее, т.к. в них мог поучаствовать любой желающий. iPhone так никто и не смог взломать ;-) Cisco за 900 секунд тоже ;-) Сначала организаторы увеличили время взлома нашего оборудования вдвое, потом добавили еще 5 минут, потом дали три подсказки. В итоге из 15 уровней сложностей взлома Cisco победитель дошел только до 2-го. Для меня, как представителя Cisco, это было приятно ;-)

Резюмируя, хочу сказать, что Positive Hack Days - это некий эталон того, как стоит проводить мероприятия. Оно и понятно. Организаторы не гнались за прибылью, не пытались нажиться на экспонентах или посетителях. Они просто хотели сделать драйвовое мероприятие и им это удалось. Приятно, когда люди делают то, что им нравится. Тогда это получается действительно хорошо.

Другим организаторам стоит взять на заметку. Боюсь, что после PHD планка организации security event'ов поднялась и поднялась высоко. Если организаторы "Инфобезопасности" или "InfoSecurity" не смогут предложить аналогичный уровень, то спонсоров на свои выставки они могут и не набрать ;-(

19.5.11

VMware покупает Shavlik

16 мая VMware анонсировала факт покупки компании Shavlik, известной на Западе своими облачными решениями по управлению ИТ и ИБ в компаниях малого и среднего бизнеса. В частности Shavlik предлалает решения по управлению патчами, антивирус, управлению конфигурациями и т.д. Финансовые условия сделки не разглашаются.

ПК3 ТК362 приказал долго жить


14 апреля 2011 г. состоялось учредительное собрание вновь образованного Технического комитета по стандартизации №122 "Стандарты финансовых операций" действующего на базе Банка России.

В соответствии с Решением учредительного собрания ТК №122 определена следующая его структура:
  • подкомитет №1 "Безопасность финансовых (банковских) операций";
  • подкомитет №2 "Технологии операций на финансовых рынках";
  • подкомитет №3 "Технологии основных финансовых (банковских) операций";
  • подкомитет №4 "Пластиковые карты и иные розничные банковские услуги";
  • подкомитет №5 "Мобильные платежи".

Банком России принято решение о переносе всех работ, связанных с совершенствованием и развитием стандартов Банка России по информационной безопасности Комплекса "БР ИББС" на новую площадку - профильный подкомитет №1 "Безопасность финансовых (банковских) операций" вновь образованного ТК №122.

18.5.11

Позитивный ROI в проект по ИБ. Реально ли?

Несколько лет назад я прочитал об одном методе оценки успешности инвестиций (ROI) в проекты по ИБ. Но т.к. я скептически относился вообще к ROI в области ИБ, то тогда не особо глубоко внимал в этот способ. Но тут недавно я столкнулся с примером его успешного применения и поэтому решил вновь вернуться к нему. Суть "проста" - использовать метод Монте-Карло.

Метод Монте-Карло появился в конце 40-х годов, когда Станислав Улам решил применять для задач, в которых необходимо было оценивать вероятность успешного исхода того или иного события, не комбинаторику, а просто большое (или очень большое) количество экспериментов, которые и позволят, подсчитав удачное число исходов опытов, оценить вероятность успеха. Улам же предложил использовать для метода Монте-Карло компьютер.

Собственно метод Монте-Карло не дает вам 100%-ую точность. Но в ряде случаев она и не нужна.Есть ряд задач, и оценка позитивного ROI относится к ним, когда их сложность, т.е. число измерений, которые надо осуществить, чтобы получить точный ответ, может расти экспоненциально. В таких случаях можно пожертвовать точностью и найти менее точный ответ, но все равно дающий точность выше 50%.

Собственно в нашем случае, у нас есть выгоды и затраты от проекта по ИБ. Точных цифр мы не знаем и можем только гадать о том, что скрывается за этими неопределенными переменными. Поэтому мы подставляем под эти переменные интервалы возможных значений и моделируем сотни или тысячи возможных сценариев. Результатом станет набор различных сценариев с различными результатами от реализации оцениваемого проекта. Например, может оказаться так, что в 15% случаев проект будет убыточен, в 54% - доходен, а в 1.6% вообще может привести к краху предприятия (под крахом подразумевается убыток в сумме равной обороту всего предприятия). Дальше остается только принимать решение, но принимать уже основываясь на математически выверенных результатах, а не на экспертной оценке.

Конечно, не все так просто и от применения метода Монте-Карло (через тот же Excel) мы не сразу научимся оценивать вероятности позитивного завершения того или иного проекта. У нас в любом случае остается задача оценки затрат и выгод. Одним из решений такой задачи может служить упомянутый мной ранее метод TEI. Но он не единственный. Как-нибудь дальше я опять коснусь этой темы.

17.5.11

Индекс кибербезопасности

Я уже писал про ежегодный индекс заражения вредоносным кодом, предложенный компанией Cisco. Идея такого индекса понятна - отслеживать тенденции в области угроз ИБ. И вот новый проект от известного в области ИБ специалиста - Дэна Гира (совместно с Макулом Париком) - Index of Cyber Security.

В отличие от иных, достаточно формальных методов измерения (число вредоносных узлов, число заражений, объем спама и т.д.), в данном случае оценивается мнение около 300 специалистов по всему миру. Т.е. это в чистом виде экспертная оценка, которая транслируется в ответы на заранее заданные вопросы по пятибальной шкале.

Пока этот проект находится только в самом начале этого пути. Авторы (хотят тот же Гир активно и уже несколько лет занимается исследованиями в области измерений ИБ) сами до конца не понимают, какую практическую пользу извлечь из этого индекса. Одним из вариантов является применение его при страховании информационных рисков (Макул Парик как раз и занимается такими вещами).

ЗЫ. В апреле индекс вырос на 2% по сравнению с мартом 2011 года.

16.5.11

Чужое ПО проверяют хуже своего

Не успела компания Veracode опубликовать свой отчет о состоянии защищенности программного обеспечения, как аналогичный отчет опубликовал другой игрок данного сегмента рынка - компания Coverity. 10 мая она выпустила отчет "Software Integrity Risk Report".

Основная мысль этого отчета - полученный из третьих рук исходный код не проверяется и не тестируется с точки зрения качества и безопасности с такой же тщательностью, что и собственноручно написанный код. Соотношение примерно 1 к 2 не в пользу чужого кода.
Отчет также подтвердил известную мысль, что в гонке за первое место в выпуске продукта на рынок страдает качестве и безопасность софта.

Что такое амакудари?

В твиттере Cisco по безопасности появилась прикольная запись о том, что в ИБ теперь появилось новое слово из японского - "амакудари". Суть термина в том, что бывшие чиновники, уходя с госслужбы, пристраиваются в различные частные конторы для того, чтобы помогать своим новым работодателям при общении с госорганами, защите при проверках, облегчении общения с бюрократической машиной и т.д. Амакудари также трактуется как вознаграждение госслужащего, который обспечивает различные преференции частным компаниям во время службы на "пользу" государства.

Забавно, что в России эта практика существует уже очень давно - достаточно посмотреть, куда, на какие должности и зачем устраиваются бывшие сотрудники ФСТЭК, ФСБ и иных госорганов. А американцы с этим столкнулись (активно) только что ;-) В чем-то значит мы их опережаем ;-)

13.5.11

Изменение роли СовБеза

6 мая Президент Медведев подписал указ «Вопросы Совета Безопасности Российской Федерации», который уточнил и актуализировал вопросы, находящиеся в компетенции Совета Безопасности. Собственно этот Указ зафиксировал, что СовБез является головной структурой, определяющей политику и стратегию России в области ИБ, в т.ч. и действия федеральных органов исполнительной власти, а также пути развития законодательства.

Пока ждать чего-то позитивного от самого Совета не приходится - в его составе много бывших сотрудников КГБ/ФСБ, которые исторически ориентированы на борьбу со шпионами и защиту гостайны. А значит и на остальные сферы деятельности СовБеза (в частности, на информационное общество) они будут применять те же принципы ;-( Достаточно вспомнить историю с запретом Skype.



12.5.11

Киберапокалипсис: как это показывает ТВ

В середине апреля пригласили меня вновь на телевидение; теперь на ток-шоу "Слово за слово" МТРК "Мир". Программа была посвящена киберапокалипсису. Достаточно забавная передача получилась. В отличие от РБК ТВ в этот раз был непрямой эфир, а запись. Совершенно иной формат, иной стиль, иная внутренняя кухня.



ЗЫ. Теперь мне стало понятно, как снимают такие ток-шоу и что за люди приходят в них участвовать со стороны аудитории ;-)

11.5.11

Sophos покупает Astaro

Компания Sophos анонсировала 6 мая факт приобретения компании Astaro, производителя средств сетевой безопасности, преимущественно средств UTM. В России Astaro практически неизвестна. Да и в мире ее бизнес невелик - всего 56 миллионов долларов в 2010-м году. Детали сделки не разглашаются.

В списке сертификатов ФСТЭК решений Astaro не зафиксировано. В списке разрешенных к ввозу на территорию России продуктов тоже. Так что российским потребителям, желающим попробовать решения Astaro на практике, придется подождать. И ждать долго, что связано с пертурбациями в ФСБ, дающей разрешения на ввоз.

Законопроект о лицензировании принят

4 мая Президент Медведев подписал новую редакцию закона "О лицензировании отдельных видов деятельности". Что интересного появилось в этом законе:
  • в ст.1 четко зафиксировано, что есть 11 видов организаций (среди них банки и т.д.), на которые закон не распространяется, но только потому, что на них распространяются отдельные законы по лицензированию основного вида деятельности.
  • должны быть разработаны новые постановления по лицензированию ТЗКИ и криптографии.
  • в ст.8 написано, что к лицензионным требованиям не могут быть отнесены требования о соблюдении требований законодательства, соблюдение которых является обязанностью любого хозяйствующего субъекта. Иными словами, ФСТЭК уже не может требовать наличия лицензии только на том основании, что операторы ПДн обязаны защищать ПДн. Они обязаны защищать по закону и никакой дополнительной лицензии на это не требуется.
  • в ст.12 перечислены все виды деятельности, подлежащие лицензированию. По "нашей" части там важны п.1.1, 1.4 и 1.5. П.1.1 требует лицензии на "разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)". П.1.4 и 1.5 касаются разработки средств защиты конфиденциальной информации и деятельности по ТЗКИ. Серьезные изменения коснулись именно п.1.1 ст.12. Во-первых, лицензия на криптографию теперь одна. Во-вторых, спектр лицензируемых видов деятельности теперь расширился и на телекоммуникационные системы, защищенные с использованием шифровальных (криптографических) средств. В-третьих, теперь четко указано, что лицензия на криптографию для собственных нужд не нужна. Правда не сказано, что такое "собственные нужды", но все-таки прогресс. Также неплохо было бы иметь слова про собственные нужды и в п.1.5. Более детально это все должно быть расписано в новых положениях о лицензировании, которые придут на смену ПП-957 и ПП-504.
  • проверка лицензиатов может быть только в соответствие с ФЗ-294.
  • все уже выданные лицензии становятся бессрочными.

Все остальное (навроде возможности оформления лицензии в электронным виде при помощи ЭЦП) - мелочи.