23.10.14

Что нас ждет в отечественном законодательстве по ИБ?

На мероприятии в Челябинске выступал с презентацией, в которой свел воедино ключевые изменения законодательства по ИБ и ПДн последнего времени и вкратце рассказал о том, что нас ждет в ближайший год-полтора.



22.10.14

Обновление статистики по выпуску НПА по ИБ

Перед вчерашним выступлением на форуме по информационной безопасности в Челябинске обновил статистику выпуска нормативных актов в области информационной безопасности за последние 3 года. Картина получилась предсказуемая и нерадостная. Отрасль зарегулирована и процесс только нарастает.

Среднее число нормативных актов, выпущенных в месяц, за последние 3 года - 4. В этом году этот показатель вырос до 6 нормативных актов в месяц.


Хочу отметить, что в следующем году мы сможем переплюнуть и этот результат. Свыше 70 проектов нормативных актов уже представлены рынку или экспертам. А еще порядка 3-5 десятков ждут своего часа. Например, полтора десятка документов, которые должны быть разработаны во исполнение законопроекта о безопасности критической информационной инфраструктуры. Или планы ФСТЭК по регулированию темы защиты информации в АСУ ТП и ГИС, а также ее планы по разработке РД с требованиями к различным типам средств защиты. А еще есть планы ЦБ, которые также известны на уровне названий документов, но пока нет проектов самих документов. Поэтому и в диаграмму внизу они не включены.


В фокусе у нас традиционно 4 больших отрасли (категория "все" включает в себя требования, применимые для всех - ПДн, удостоверяющие центры, МИБ, поправки в УК и КоАП и т.д.):
  • НПС и банки
  • Госорганы
  • ТЭК и КВО
  • Операторы связи


Ну а основными инициаторами тех или иных нормативных актов у нас являются Банк России, ФСТЭК России, Правительство РФ, Минкомсвязь и ФСБ.


В целом никаких сюрпризов. Все предсказуемо. С другой стороны надо найти и что-то положительное в таком усилении регулирования. Например, то, что у нас будет работа :-) А мне будет о чем писать :-) А всем будем что критиковать :-) 

15.10.14

План деятельности ТК122 по стандартизации ИБ финансовых организаций

На днях в ПК1 ТК122 была утверждена программа по стандартизации вопросов безопасности финансовых операций на ближайшие пару лет. В план вошли следующие темы:

  • Распространение действия СТО БР ИББС (1.0 и 1.2) на все финансовые организации, а не только на кредитные.
  • Пересмотр СТО БР ИББС 1.1, 2.0, 2.1 и 2.2
  • Пересмотр РС 2.7 по ресурсному обеспечению, так и не вступившей в силу (очень непростой документ).
  • Разработка новой РС по предотвращению утечек информации.
  • Разработка новой РС по противодействию мошенничеству при переводе денежных средств.
  • Разработка новой РС по распределению ролей ИБ.
  • Разработка новой РС по обеспечению ИБ в облаках и при аутсорсинге.

14.10.14

Как обнаруживать и подавлять посторонних в Wi-Fi-сети

Обратился к нам тут давеча заказчик с вопросом. Мол, внедрили мы мобильный доступ внутри сети, организовали гостевые подключения, и даже BYOD для отдельных категорий высокопоставленных пользователей замутили. Ну все чин чином, как положено при реализации корпоративной мобильности. Все на базе Cisco ISE (небольшая реклама :-) Но при этом возникли ряд проблем, о которых до этого момента никто не думал, находясь на волне интереса к BYOD и даруемым им преимуществам. О возможных проблемах никто не подумал, а они есть.

Начнем с банальных атак в беспроводном эфире. Как их обнаруживать и отражать? Обычные IDS/IPS неспособны это делать, т.к. им нужен доступ либо к проводному каналу, чтобы встать в разрыв, либо к SPAN-порту, чтобу получить копию трафика (в виртуализированной среде к vPath или иному средству перенаправления трафика с нескольких виртуальных машин на заданную).

Другая проблема, ушлые сотрудники, которые ставят собственные точки доступа для облегчения своей работы и перемещений по офису без необходимости подключаться к порту коммутатора. При этом уровень знаний о безопасности у таких сотрудников низкий и настраивать установленное оборудование они не умеют, оставляя его в конфигурации "по умолчанию". С дефолтовыми паролями, с известными учетными записями, с антеннами, бьющими на полную мощность за пределы здания. Этим, разумеется, пользуются злоумышленники, которые обнаруживают такие "левые" точки доступа и через них проникают в сеть.


А еще "левые" точки доступа могут быть установлены в соседних помещениях. Их тоже никто не настраивает как надо и они "фонят" на десятки, а то и сотни метров, мешая работать другим арендаторам в здании. У заказчика, который к нам обратился, такая проблема тоже была. Под кабинетом генерального директора находилось кафе, которое предлагало своим посетителям гостевой доступ в Интернет через Wi-Fi, и мешало нормально работать в корпоративной беспроводной сети. Это обнаружилось уже потом, а до этого айтишники не могли понять, почему у гендиректора фигово все работает. В другом случае, была зафиксирована ситуация, когда злоумышленник поставил в соседнем помещении точку доступа с тем же SSID, что и в компании, развернувшей у себя Wi-Fi, тем самым выступая в качестве "man-in-the-middle" и перехватывая трафик пользователей на себя.

Кстати, посетители кафе представляли и еще одну проблему. В самом кафе им предоставляли ограниченный доступ к Интернет-ресурсам; вот они и пытались найти близлежащие точки доступа и попробовать выйти в Интернет через них. И хотя ISE такие действия отсекал, регулярные попытки подключения к корпоративным точкам сильно мешали, держа постоянно в напряжении и безопасников и айтишников.

Собственно ничего нового в таком отношении к беспроводному корпоративному доступу не было. У 67% компаний нет достаточно проработанных политик (а то они и вовсе отсутствуют) использования беспроводных сетей. У 48% отсутствует регулярное сканирование радиоэфира. А у 66% отсутствуют беспроводные системы предотвращения вторжений.


Собственно после нашей беседы заказчик развернул у себя средства мониторинга и управления беспроводной сетью, позволяющее как раз решать поставленные задачи. В частности, с его помощью стало возможным оперативно отслеживать и автоматически подавлять любые посторонние беспроводные точки доступа и клиенты. В ряде случае, когда автоматическое подавление не представляется возможным, решение задачи облегчает возможность идентификации физического местоположения беспроводного устройства с привязкой к поэтажному плану здания. В зависимости от покрытия здания точками доступа точность может достигать пары-тройки метров.


Помимо функций обнаружени и подавления "чужих" и внутренних нарушителей, такое решение позволило еще и айтишникам получить ряд дополнительных инструментов по отслеживанию мест массового скопления беспроводных пользователей и перестроить свою Wi-Fi-сеть с учетом этой информации (но это уже к ИБ не относится).

Резюмируя, хочу отметить, что внедрение решений по беспроводному доступу должно всегда сопровождаться моделированием угроз, при котором стоит исходить из худшего сценария развития событий. Поэтому помимо средств организации беспроводного доступа стоит подумать о наличии возможностей обнаружения, классификации и нейтрализации посторонних устройств и атак.


Да и регуляторика (приказы 17/21/31 ФСТЭК) говорят об этом же...

13.10.14

Можно ли исключать защитные меры при неактуальности угроз?

Моя пятничная заметка вызвала оживленную дискуссию в Twitter и Facebook на тему, можно ли отказываться от какой-либо защитной меры согласно приказу 17/21/31 при неактуальности угроз. Сергей Борисов даже пост на эту тему написал. Он считает, что в 21-м приказе отсутствует возможность исключения защитных мер только на основании неактуальности угроз, для которых эта мера предназначена. По причине отсутствия какой-либо информационной технологии можно, из-за определенных структурно-функциональных характеристик тоже можно, а вот по причине неактуальности угроз нельзя. Я с такой позицией несогласен и вот почему.

В 17-м приказе, в п.14.3 есть такой фрагмент "При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы... применяемые информационные технологии...". Далее, в п.14.4 говорится, что "Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации". В 20-м пункте говорится, что "Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать...". Иными словами, ФСТЭК неоднократно указывает, что система защиты и ее наполнение мерами зависит от угроз и никак иначе.

31-й приказ построен на аналогичных вводных. В 8-м пункте говорится о том, что защита информации в АСУ ТП достигается путем принятия в рамках системы защиты АСУ "совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования...". В п.13.3 также говорится, что угрозы зависят от структурно-функциональных характеристик АСУ ТП. Пункт 13.4 гласит - "Требования к системе защиты... определяются в зависимости от класса защищенности... и угроз безопасности, включенных в модель угроз безопасности информации". Ну а 18-й пункт 31-го приказа почти дословно повторяет упомянутый выше 20-й пункт 17-го приказа.

Иными словами, ФСТЭК в двух своих приказах четко дает понять, что система защиты зависит от угроз и с неактуальными угрозами (которые не приводят к нарушению функционирования или ущербу) бороться не надо; в модель угроз неактуальные угрозы включать не надо.

Почему таких фраз нет в 21-м приказе? На самом деле все просто. Во-первых, в 21-м приказе это сказано, но другими словами. В частности, в п.3 говорится, что "меры по обеспечению безопасности персональных данных... должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных". 4-й пункт тоже упоминает только актуальные угрозы. И 8-й пункт тоже. 2-й пункт Постановления Правительств №1119 тоже, как ни странно, упоминает только актуальные угрозы, которые и должна нейтрализовывать система защиты.

А во-вторых, в 21-м приказе просто нет тех разделов по жизненному циклу системы защиты персональных данных, которые есть в 17-м и 31-м приказах. Нет их не из-за забывчивости, все-таки документы писали одни и те же люди. Причина проста - ФСТЭК, являясь уполномоченным органом по защите ГИС и АСУ ТП, для них установила требования по тому, как строить систему защиты; из каких этапов этот процесс должен состоять. А вот коммерческим операторам ПДн, на которых и распространяется 21-й приказ, ФСТЭК, не имея полномочий для их проверки, решила дать свободу в выборе того, как строить систему защиты. Поэтому, соблюдая общую идеологию, общий алгоритм выбора защитных мер, единый перечень защитных мер, в 21-м приказе не говорится (и теперь понятно, что может быть и зря), как это все объединить вместе.

Отсутствие этих разделов дает основание некоторым экспертами считать, что неактуальность угрозы не дает права на исключение соответствующей защитной меры. Собственно, мы опять возвращаемся к тому, о чем я уже как-то писал, - свобода выбора - это для многих зло. Слишком много степеней свободы появляется - у владельца защищаемой системы своя, у интегратора своя, у аттестационной лаборатории своя, у проверяющих от регуляторов своя. И даже если последние допускают (а это именно так) широкое толкование 17/21/31-го приказов, то вот остальные участники этого процесса пока не перестроились и постоянно рассчитывают на "а вдруг". А вдруг нельзя? А вдруг не согласуют? А вдруг накажут? А вдруг неправильно?...

Резюмируя, исключать защитные меры, опираясь на неактуальность угроз, возможно. Более того, модель угроз, которая будет строиться по методике, которую в скором времени опубликуют, будет включать только актуальные угрозы. А система защиты будет зависеть от модели угроз, т.е. списка угроз актуальных.

10.10.14

Symantec тоже делится

Symantec тоже делится пополам. Подробно описывать не буду - все написал в посте про HP :-)

Базовый - значит минимальный?

На данную заметку меня натолкнула статья "Как уйти от оценки соответствия СЗИ", в которой делается интересный, но неверный вывод "Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь". Я с ним сталкиваюсь достаточно регулярно, разговаривая об алгоритме выбора защитных мер по 17/21/31-му приказам.


Алгоритм, действительно, отличается от того, что было раньше. Сейчас появилась свобода выбора и она многих вводит в ступор. Это вам не СТР-К, не четверокнижие и не 58-й приказ, который содержал закрытый перечень защитных мер. Вот их надо было обязательно выполнять, хошь-не хошь. В новых приказах ситуация совершенно другая.

Да, начинается все с перечня базовых мер. Многие считают, и считают неправильно, что эти меры являются минимально возможным перечнем, который нельзя урезать. А ведь это совсем не так! В приказах четко написано, что "исключение из базового набора мер возможно, если какие-либо информационные технологии не используются в информационной системе, или присутствуют структурно-функциональные характеристики, не свойственные информационной системе". То есть ни о каком минимально допустимом перечне речи не идет. Что же такое базовый набор?

Все просто. Это набор мер, рекомендуемых "по умолчанию". Вот не хотите вы пересматривать защитные меры исходя из используемых вами технологий или особенностей информационной системы. Не хотите строить свою модель угроз. Не хотите адаптировать защитные меры под себя. Вот для вас и разработан базовый набор, как набор "лучших практик". Во время разработки проектов приказов очень много дискуссий было именно на тему, что включать, а что нет, в этот базовый набор, так как все понимали, что потребитель будет отталкиваться от него при построении своей системы защиты.


Однако, если вы считаете, что базовый набор вам не подходит. Например, у вас нет каких-либо угроз, технологий или процессов, то вы можете спокойной урезать этот набор до необходимого вам. Именно вам, а не интегратору, лицензиату или еще кому-то. Это требует определенных усилий и времени, но зато и результат будет оптимальным. А можно пойти по старинке и взяв за основу базовый набор, реализовать его в своей системе. Тоже возможно.

В любом случае у вас есть свобода действий, которой вы можете воспользоваться, а можете и нет. Главное, что не стоит думать, что базовый набор - это минимальный перечень защитных мер.

Запрет на хранение ПДн россиян отложен?..

Вчера прошла новость о том, что российские власти отложили принятие поправок в 242-ФЗ о запрете хранения ПДн россиян за границей с 1-го января 2015-го года. Отчасти этому поспособствовало недовольство бизнеса (тут и тут), который был не готов в столь короткие сроки осуществить перенос своих вычислительных мощностей в Россию. Это хорошо, но...

Хочется отметить, что речь не идет (пока не идет) об отмене или переделке самого 242-ФЗ. Пока говорят лишь о том, что может быть оставить все как есть; тогда закон вступит в силу как и предполагалось раньше - с 1-го сентября 2016-го года. Многие вздохнули с облегчением и поспешили обрадоваться сами или обрадовать своих западные штаб-квартиры. Однако вздыхать рано.

Во-первых, 1,5 года с небольшим до сентября 2016-го года - это не так много для крупных баз данных. Но дело даже не в этом. Вторая проблема совсем в другом. Что делать тем компаниям, которые в принципе ничего сюда перенести не могут? Например, представительства иностранных компаний, у которых бизнес-процессы построены таким образом, что информация об их российских работниках циркулирует и хранится за пределами РФ? Но это еще полбеды. Ну не будет у нас иностранных компаний в России, для импортозаместительного курса это в струю.

Есть другой, даже более серьезный вопрос. Кто-нибудь задумывался о том, как осуществляются трансграничные денежные переводы? Ведь в полях "отправитель" или "получатель" могут присутствовать персональные данные россиян. Вот захочет, например, депутат имярек перевести деньги за обучение своих отпрысков за границу, а не сможет. Ведь храниться эта информация за рубежом не может. И перенести сервера для ее хранения в Россию нельзя. И что делать бедному депутату? Да тут и с чадом депутатским вопрос встает - ведь оно российского происхождения. А значит какой-нибудь престижный швейцарский или английский колледж или университет не может хранить у себя персональные данные россиянина. И в России он тоже хранить их не будет.

А если депутатскому чаду или самому депутату понадобится оказать медицинскую помощь за пределами Российской Федерации? Понятно, что отечественная медицина лучше, но если вдруг?.. Патриотично отказать европейским врачам в процедуре липосакции или пластики груди и ехать в Россию? А как по другому - ведь зарубежные клиники не могут хранить эти персональные данные в своей картотеке. И в Россию тоже не смогут перевести эти данные.

Ну и, наконец, представим Всемирный экономический форум в Давосе. Приезжают красавцы из Новой Зеландии, европейские чиновники, американский бизнес... А россиян нет. Ни одного. Даже Президента РФ. Ведь он гражданин России, а хранить ПДн россиян за границей нельзя. И поэтому ВЭФ в Давосе отказывает всем россиянам в регистрации на форум, ссылаясь на 242-ФЗ и не имея возможности перенести свои серверные мощности в Россию!

Вообще 242-ФЗ - это хороший закон. Он лучше многих других обеспечивает курс на импортозамещение во всех сферах жизни - медицина, обучение, покупки, отдых... Все россияне теперь останутся в России и будут покупать только российские продукты и пользоваться только российскими услугами. Мечта патриота! Может для этого закон и принимали?..

9.10.14

Можно ли обойтись без шифрования при передаче ПДн по каналам связи?

Вчера я должен был выступать на конференции по защите персональных данных, проводимых компанией "Авангард-Про". Так случилось, что здоровье подкачало и выступить я не смог. Но в любом случае я выкладываю свою презентацию по такой непростой теме, как обязательность применения средств шифрования для защиты персональных данных.

Тема, безусловно, дискуссионная, но думаю, что в презентации вы сможете найти какие-либо полезные мысли :-)



8.10.14

Изменяется перечень адекватных стран по части ПДн

Как Роскомнадзор и планировал в 2014-м году изменить перечень стран с адекватной защитой прав субъектов ПДн, так он и сделал. Подготовлен проект приказа о внесении изменений в приказ Роскомнадзора от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».

Из нового, уже согласованного приказа, будут изъяты специальный административный район Гонконг Китайской Народной Республики и Швейцарская Конфедерация.

6.10.14

HP покидает рынок безопасности?

Сегодня стало известно, что компания HP решила разрезать себя пополам, разделив свой бизнес на две части - HP Enterprise, которая будет заниматься корпоративными решениями, и HP Inc, которая займется персоналками и принтерами. В пресс-релизе компании ни слова о направлении безопасности (что уже говорит о приоритетах), но можно предположить, что оно уйдет в HP Enterprise. Также сообщается о сокращении 55 тысяч (55000!) человек в процессе разделени компании, которое будет происходить до октября 2015-го года.

Сейчас сложно предсказывать, что будет с направлением безопасности HP дальше. В свое время, когда HP выделил из себя направление Agilent, он туда отдал один или два продукта по ИБ. Я даже сейчас вспомнить уже не могу, что это были за решения. И в итоге они погибли, прекратив свое существование, т.к. для  Agilent они стали непрофильным активом. В текущей ситуации это врядли произойдет - все-таки HP Enterprise будет заниматься наряду с прочим и сетевыми технологиями.

По собственному опыту могу сказать, что любые реорганизации - это всегда неразбериха в течение длительного времени и всегда полнейшая неопределенность в части планов развития компании. А уж при сокращении такого количества людей текущие сотрудники будут находиться в определенной прострации и постоянных размышлениях на тему "оставят / не оставят". Кого-то это может подхлестнуть работать лучше, а кого-то и вовсе закрыться в коконе в ожидании финала.

В любом случае, переходный период в течение ближайшего года, будет не самым лучшим для компании, ее сотрудников и продуктов. А нам остается только ждать, чем закончится эта история.

3.10.14

Законопроект по гособлаку представлен общественности

На днях на портале regulation.gov.ru выложили очередную реинкарнацию законопроекта по облакам. Когда я ее скачивал, я предвкушал возможность прокомментировать там многие вещи. Все-таки к майской версии законопроекта было немало вопросов. Каково же было мое удивление, когда я увидел не только совершенно иной текст, но и совершенно иное название законопроекта.

Первоначально речь шла о законопроекте под названием “О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений”, инициатором которого был Минкомсвязь. Он до сих пор лежит на портале regulation.gov.ru. Выложенный же 26-го сентября законопроект "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и среди его разработчиков значится не только Минкомсвязь, но и ФСО, ФСБ и ФСТЭК России. Оно и понятно, изменения в трехглавый закон мимо них не проходят. Чтоже мы видим в этом "замечательном" законопроекте:

  • Вводится 3 новых определения, включая и "услуги облачных вычислений". Правда, это определение касается только госорганов. А вот для коммерческих организаций или физлиц услуг облачных вычислений по версии Минкомсвязи не бывает. Аналогичная ситуация и с термином "облачная инфраструктура" - она тоже может быть только для госов.
  • Поставщику облачных услуг явно отказывается в праве считаться обладателем информации, созданной госорганами в облачной инфраструктуре.
  • При предоставлении услуг облачных вычислений должны быть соблюдены всего два условия - доступность информации и возможность ее обработки, включая и ее удаление. Все!
  • Надо ждать выхода отдельного Постановления Правительства, которое определит требования и порядок предоставления услуг облачных вычислений. Думаю, оно появится не позже шести месяцев с момента принятия законопроекта.
  • Поставщик облачных услуг может быть только российским юрлицом или ИП, а сама облачная инфраструктура должна находиться только на территории России. При этом не каждый отечественный облачный провайдер сможет претендовать на право выноса государственного мозга в облако, - только аккредитованные провайдеры удостоятся этой чести. Правила аккредитации должно разработать Правительство РФ.
  • Ответственность за нарушение достоверности, целостности, подлинности и конфиденциальности информации, в случае, если таковое последовало по причине ненадлежащего функционирования и управления облачной инфраструктурой поставщика услуг облачных вычислений, несет поставщик услуг облачных вычислений. Во всех иных случаях ответственность несут госорганы.
  • Вступить закон должен в силу с 1-го января 2016-го года.
Вот и все требования. По сравнению с майским проектом - небо и земля. Убрали и муниципальные органы, и требования к коммерческим облакам, и требования лицензирования по требованиям ИБ, аттестации и использования сертифицированных средств защиты. Возможно, последние три пункта войдут в упомянутые ранее Постановления Правительства. По крайней мере, выглядело бы это логичным. Это на уровне отдельного законопроекта, такие вопросы стоило внести в него. А в трехглавом законе, где и так часть вопросов уже описана (та же сертификация), эти повторения без надобности. А вот вынести их на уровень Постановления Правительства - вполне логичная идея. И вот там уже могут появиться и требования лицензирования, и требования аттестации, и требования оценки соответствия используемых средств защиты информации, владельцем которой является государство.


2.10.14

Об отключении Интернет, которое было предсказуемо еще 14 лет назад

Вчера прошло заседание Совета Безопасности, посвященное информационной безопасности России в целом и Рунета в частности. Само мероприятие вызвало уже немало откликов, комментариев, статей и репортажей в СМИ. Однако для большинства пользователей Интернет и просто обывателей главным был вопрос, который подняла совсем недавно газета “Ведомости”  - отключат нас от Интернет или нет? Собственно временная шкала в мозгу рядового россиянина выглядела бы так:



Специалисты, чуть больше погруженные в тему, могли бы увязать статью в “Ведомостях” с прошедшими в июле секретными кибер-учениями (кстати, проведение киберучений - вещь достаточно популярная в мире).



Еще более погруженные в тему специалисты могли бы вспомнить, что ничего сверхестественного в идее отключения государства от Интернет нет и даже США пытались это сделать, создав “красную кнопку”, передаваемую в чрезвычайной ситуации в руки президента США. Правда, законопроект “о красной кнопке отключения Интернет” так и не был принят, но все-таки такая возможность открыто прорабатывалась американцами еще в 2010-м году. Почему бы ее не проработать и нашим властям?..

Но я бы хотел посмотреть на эту проблему чуть шире. Если отталкиваться только от статьи в “Ведомостях” и последующих ее переложениях, то ситуация действительно выглядит апокалиптично - IP-адреса заберут, DNS-адреса перестанут делегировать, Рунет перестанет быть доступным извне, превратившись в большую локальную сеть, скрытую NAT’ом… Просто жуть, а не картина :-) Если же посмотреть на ситуацию, взяв за основу не статью в “Ведомостях”, а сам факт проведения киберучений (а статью считать не самым удачным переложением того, что обсуждалось в июле), то ситуация становится вполне адекватной и понятной - государство, в условиях усиления информационного противоборства (на разных уровнях) решило наконец-то озаботиться оценкой возможных рисков, проработкой сценариев негативного развития событий и выработкой подходов по их нейтрализации и смягчению последствий. Обычное моделирование угроз или анализ рисков, но применительно к российской информационно-телекоммуникационной инфраструктуре (читай, Рунету) и в более глобальных масштабах. Тогда в качестве одного из возможных рисков вполне могли рассматривать “ливийский” сценарий по случайному или целенаправленному отключению России от всемирной сети, что могло стать причиной различных негативных событий у нас в стране. С этой точки зрения все выглядит вполне разумно и заседание СовБеза явилось логичным продолжением киберучений, результаты которых с предложениями по нейтрализации негативных последствий и были озвучены Президенту и другим участникам СовБеза.

Тут можно было бы и поставить точку, но раз уж я все-таки взялся за клавиатуру и все-таки посвятил заметку этой теме, то я хотел бы пойти еще дальше и высказать крамольную мысль, что ничего сверхественного, сенсационного, ранее неизвестного в постановке задачи “а можно ли отключить нас от Интернета” нет. Эта тема давно волнует умы нащих силовиков и иных стоящих у руля, о чем они открыто и неоднократно писали. Достаточно только вспомнить прошлогодние баталии на тему интернационализации Интернет, борьбе с засильем американской ICANN и желанием ряда государств (во главе с Россией) передать полномочия по управлению Интернетом “независимой” ITU (работающей под эгидой ООН), а также получить право управлять национальными сегментами Интернет на уровне государства, а не ICANN. Желание вполне понятное с точки зрения если не пользователя Интернет, то государства уж точно.

Интернационализация же Интернет - идея тоже не новая. Впервые ее упомянули еще в 2000-м году в Доктрине информационной безопасности. И вот тут мне хотелось бы напомнить, что несмотря на кажущуюся хаотичность действий наших чиновников и законодателей, они все-таки подчиняются некоторой логике (пусть и далекой от логики обычного россиянина). И логика эта (а также путь движения) описан в ряде основополагающих документов:

  • Доктрина информационной безопасности (2000 год)
  • Стратегия национальной безопасности до 2020 года (2009 год)
  • Федеральный закон “О безопасности” (2010 год)
  • Военная доктрина (2010 год)
  • Основы государственной политики в области международной информационной безопасности на период до 2020 года (2013 год)
  • Концепция внешней политики (2013 год).
Во всех этих документах стратегического планирования постулируется мысль, что одна из основных угроз в области информационной безопасности для России - это использование информационно-коммуникационных технологий (Интернет) для вмешательства во внутренние дела государства, для осуществления враждебных действий против государства, для оказания деструктивного воздействия на критические инфраструктуры государства и для совершения киберпреступлений против отечественных компаний и граждан. Ну а дальше все эти документы определяют различные высокоуровневые, а местами и совсем неконкретные способы снижения данного риска.

Например, все документы говорят об интернационализации управления Интернетом, которые по сути означают желание государства взять управление Рунетом под свой контроль (кто-то может трактовать это как возможность отключения от Интернета). Документы говорят о необходимости обеспечения технологического суверенитета в ряде критических областей (не всех), что мы также видим в последнее время. Декларируется право на индивидуальную или коллективную самооборону, реализацию которой мы также видим в обсуждении различных либо сугубо российских инициатив по ИБ, либо в виде коллективных договоров по ИБ в рамках ШОС, ОДКБ, СНГ и т.п.

Вспомним, попытки последних лет взаставить международные Интернет-компании - Twitter, Google, Facebook и других, быть более лояльными к запросам российских властей. Так в Доктрине ИБ 2000 года это было уже прописано - “определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций”. Российские Интернет-компании, ранее не попадавшие под лицензирование как операторы связи и недавно ставшие “распространителями информации”, подконтрольными российским властям, тоже были упомянуты несколько лет назад в рамках одной из угроз, которую нужно нивелировать - “создание системы противодействия монополизации отечественными и зарубежными структурами составляющих информационной инфраструктуры, включая рынок информационных услуг и средства массовой информации”.

Про на днях нашумевший законопроект о ограничении участия иностранцев в деятельности наших СМИ в этих доктринальных документах тоже написано - “уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов”.

Про недавно созданный при ОДКБ центр противодействия киберугрозам тоже было написано и в основах госполитики в области международной ИБ, и в концепции внешней политики, и в стратегии национальной безопасности. В них постулируется необходимость создания альянсов с ОДКБ, ШОС, СНГ, странами БРИКС по различным сферам, в том числе и в части информационного противоборства и информационной безопасности. Последние шаги России по выпуску межгосударственных документов в области ИБ (включая и ЕвразЭС, по которому сейчас тоже активно готовится нормативная база) лишний раз доказывают это.

По сути, то, что вчера происходило на Совете Безопасности, было предсказуемо. Вопрос был только в дате, когда за это должны были взяться. Взялись. Думаю, теперь можно прогнозировать, опираясь на вышеупомянутые документы, что будет следующим в списке шагов наших законодателей и регуляторов.

А в заключение хочу тезисно напомнить, что вчера было на СовБезе (в вольном переложении и прочтении между строк):

  • Будут создаваться (а местами уже созданы) дублирующие элементы сети для обеспечения ее отказоустойчивости. В том числе будет активизироваться сотрудничество в этой сфере с Китаем и рядом других государст-партнеров.
  • Сайты, которые нарушают законодательство РФ (в т.ч. и во внесудебном порядке), будут и дальше закрываться. Никаких послаблений не будет. Роскомнадзор может быть выведен из под Минкомсвязи в прямое подчинение Президенту.
  • Тотального контроля не будет. Про нетотальный речи не было :-) Необоснованных ограничений в Интернете не будет. Про обоснованные речи не было :-)
  • Будут приняты новые нормативные акты в области ИБ и Интернет, особенно применительно к госорганам.
  • ФСБ остается основным органом в области ИБ, который готовит для Президента аналитические записки и прогнозы развития ситуации.
  • Озвучен в очередной раз курс на стимулирование госорганов применять отечественную ИТ-продукцию. Критерии “отечественности” финально не приняты.
  • Система СОПКА будет и дальше развиваться.
  • Киберучения, видимо, теперь будут регулярными.
  • Министр связи и массовых коммуникаций мало понимает в области ИБ.
  • Банковский CERT, о котором говорили в начале года в Магнитогорске, будет создан в ближайшем времени.
  • Законодательство о персональных данных будет развиваться.
  • Мы начнем перенимать зарубежные “лучшие практики” контроля Интернет и “защиты прав” граждан (например, китайские).

1.10.14

Мужские запахи и ИБ

Постоянно летая самолетами разных авиакомпаний волей-неволей, но погружаешься в чтение журналов, вкладываемых в карман впереди стоящего кресла. Журналы бывают интересные, бывают не очень. В зависимости от длительности полета, либо не успеваешь прочитать журнал целиком и остается еще что-то на обратную дорогу, либо перелет достаточно длинный, чтобы прочитать один журнал от корки до корки и нацелиться на другие творения авиационной полиграфии. У Аэрофлота - это журналы Аэрофлот.Style и SKYSHOP. В первом публикуются разные гламурные статейки для женщин - какую косметику выбрать, какие коллекции модной одежды сейчас в тренде, какую ювелирку заказать суженому на 8 Марта и т.п. Второй журнал содержит каталог товаров, которые можно приобрести.



3 года назад я уже писал о статье про женские духи, в которой в небольшом абзаце была раскрыта тайна, почему Security ROI, работающие на Западе, не работают в России. Все дело в относительности стоимости человеческого труда, которая может отличаться в России и на Западе в разы (не в пользу России). Сегодня ночью, летев из Казани, я листал уже не Аэрофлот.Style, а SKYSHOP.



В этом журнале была куча совершенно бестолковых товаров, навроде набора губного геля со вкусом Кока-Колы и Спрайта или цифрового алкотестера. А еще половина этого журнала посвящена косметике и парфюмерии, мужской и женской. А поскольку во время снижения делать обычно нечего и 20-25 минут либо сидишь, пялясь в инструкции по спасению на высоте 10 тысяч метров, либо разглядываешь ненавистный глянец. И вот в этот раз я застрял на изучении рекламы мужской косметики разных производителей, из которой я узнал, что по версии всяких Версачей и ДольчеГабан мужественность должна содержать ноты мяты и  лимона, герани и ванили, ветивера и цитрусовых, пряностей и японского юдзу, папоротника и розы, грейпфрута и красного мандарина, а также корицы. Несмотря на такое разнообразие запахов абсолютной мужественности, объединяет их одно - дрова! Именно они, скрытые под красивой фразой "древесно-пряная изысканность", являются неотъемлемым компонентом всех мужских ароматов. Прочтя столь чарующую рекламу, которая умоляла меня выложить 200 евро за 100 мл бесцветной жидкости, я принюхался к себе... В таинственном шлейфе, окутывающим меня после перелета, я уловил точно не оттенки чувственности, которые должны были напомнить мне о легендарной сексуальной революции 1969 года и уж точно шлейф не навевал мне мысли о кораблях, трюмы которых полны сундуков с экзотическими специями. Запах был немного иным... То ли дизайнеры врут насчет квинтэссенции запаха настоящей мужественности, то ли я эту мужественность порастерял в дороге... В любом случае сандалового или кедрового запаха от себя я не ощущал :-)

Однако размышления о запахе настоящей мужественности неподвластными человеческой логике путями привели меня к мысли об информационной безопасности. Я вспомнил, как в августе, во время множественных перелетов по Америке, я постоянно наталкивался на журнальчики американских авиакомпаний, в частности SkyMiles у Delta Airlines. А вот у них в журналах почти не было косметики и парфюмерии или кондитерских изделий как у нас. Меня поразило другое (я обратил на это внимание еще в прошлом году, но потом забыл) - большой выбор средств персональной ИБ.  
 
И речь не об антивирусах и не замках для ноутбуков. Очень большое предложение средств, блокирующих RFID-излучение платежных карт, паспортов и других критичных документов.
 
Это и кошельки, и обложки для паспортов, и визитницы, и косметички, и поясные/наплечные сумки... Выбор колоссальный.

А что у нас? Запахи современного, харизматичного, обольстительного, искушенного гедониста? Фонарики с 3-мя видами энергии, способствующей исчезновению целлюлита? Сыворотка для груди с идебеноном? Электроприбор, стимулирующей фибробласты? Экстракт устричных раковин для создания нанокристаллической пленки на зубах? Где персональная ИБ?

У нас что, граждане не пользуются PayPass от Mastercard или payWave от Visa? Или в отечественных биометрических паспортах нет RFID-чипа? Все это есть, а вот задумываться о краже данных дистанционным образом, пока никто в России не задумывается (в отличие от США). И решений поэтому у нас тоже нет. Будем надеяться, что пока...

А пока пойду смою запах дальних странствий и буду искать в своей мужественности запах сандала, кедра или хотя бы просто древесно-пряную изысканность. Точнее изысканность в моей мужественности-то есть. Может быть и деревом она отдает. Но вот пряная ли она? Кто знает, кто знает...