22.02.2018

Конференция ФСТЭК: новые правила сертификации средств защиты

Как я и обещал вчера, сегодня поговорим о второй части конференции ФСТЭК, посвященной сертификации. Во вчерашнем обзоре достижений российского рынка сертифицированных решений я обратил внимание на снижение числа продуктов, прошедших оценку соответствия и предрек еще большее снижение этого числа, вызванное готовящимися правилами сертификации ФСТЭК, о которых регулятор говорил на конференции на прошлой неделе.

Как мы помним вся сертификация сегодня базируется на артефакте времен перестройки - Постановлении Правительства №608 от 1995 года. 23 года! Немыслимый срок, в течение которого изменилось все (даже Президент) - технологии, производители, руководство ФСТЭК, продукты, угрозы, нарушители, геополитическая ситуация. А подходы к сертификации оставались теми же, что и во время, когда кроме гостайны у нас почти и не было никакой защищаемой информации. В 2010-м году была сделана попытка с выходом 330-м Постановления Правительства, которое регулировало вопросы сертификации средств защиты персданных и государственных информационных ресурсов. Безуспешно. В 2012-м году ФСТЭК попробовала еще раз урегулировать этот вопрос, но уже через информационное сообщение. Правительство же в том же году решило навести порядок с оценкой соответствия, но оставило в стороне тему защиты информации. И вот пришел через для нашего с вами направления деятельности. По решению Совета Безопасности подготовливается новый НПА - "Положение о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации". Именно о нем и шла речь в докладе Дмитрия Шевцова.


За 23 года накопилось немало проблем в сертификации, поэтому изменений процесса тоже будет немало. Я попробую тезисно выделить некоторые из тех, что мне запомнились из доклада:
  • До 1-го апреля должно быть разработано новое положение, которое затем уйдет в Правительство и Минюст. Можно предположить, что летом у нас будут новые правила сертификации средств защиты.
  • Сроки действия сертификатов будут увеличены до 5 лет. Этот срок распространяется на заявителя. Потребитель, не являющийся заявителем, может эксплуатировать средства защиты вне зависимости от срока действия сертификата при выполнении следующих условий:
    • не истек срок эксплуатации, установленный заявителем на сертификацию (при его наличии);
    • заявитель осуществляет техническую поддержку сертифицированной продукции;
    • применение продукции не противоречит требованиям по защите информации, установленным ФСТЭК;
    • ФСТЭК не запретила применение продукции и сведения о сертификате соответствия на продукцию находятся в реестре на сайте регулятора.
  • Устанавливаются более жесткие требования к заявителям. Включение требований к потребителям продукции, которые могут быть заявителями. Предъявление новых требований к разработчикам продукции (часто разработчик и заявитель - это разные лица; например, для иностранных средств защиты). Все разработчики средств защиты, зарегистрированные на территории России, должны будут иметь лицензию ФСТЭК на разработку средств защиты.
  • ФСТЭК начинает "драть" разработчиков, которые не способны поддерживать сертифицированные изделия. Например, был публично приведен пример компании РНТ, у которой планируется отозвать 4 (!) сертификата (включая на "Форпост") за отказ от устранения уязвимостей в open source части продукции. Также ФСТЭК применяет метод "контрольных закупок" через звонки в службы техподдержки производителей от имени потребителей.
  • Изменение схем сертификации продукции. Производители средств защиты теперь смогут сертифицировать свои решения только по схеме "серия". Никаких партий или единичных экземпляров. А вот потребители смогут сертифицировать средства защиты только по схемам "единичный экземпляр" или "партия". В целом, это логичное разделение, хотя проблему с огромным количеством сертификатов на один и тот же продукт не решит. Например, на Cisco ASA выдано около 50-60 сертификатов ФСТЭК для разных заявителей. Поддерживать такой зоопарк достаточно сложно.
  • Детализация заявки на сертификацию. Если средство защиты иностранного происхождения и разработчик не имеет лицензии ФСТЭК на разработку, то сертификация будет проводиться только при наличии письма от потребителя о необходимости применения такого средства. Это вступает в некоторое противоречие с тем, что разработчик может сертифицировать только по схеме "серия". Но принятый курс на импортозапрещение подсказывает, что по другому и быть не могло. Число сертификаций зарубежных решений еще больше уменьшиться. Не каждый заказчик захочет "подставляться" и писать письмо регулятору с признанием, что хочется применять продукты нероссийского происхождения.
  • Установление требований по защите информации ограниченного доступа и коммерческой тайны заявителя.
  • Детализация процедур сертификации и установление точных сроков выполнения процедур сертификации. Например, для иностранных продуктов теперь будет требоваться сертификация только на территории России. Вот это требование, я боюсь, поставит крест на сертификации всех иностранных вендоров, которые пока еще тратят деньги на сертификацию в России. Одно дело предоставлять доступ к исходникам (а сейчас почти при любой сертификации это требуется в той или иной степени) или вывозить представителей испытательной лаборатории на место производства, и совсем другое дело - передавать исходные коды испытательной лаборатории (даже при включении в договор требований о сохранности коммерческой тайны). Есть, конечно, вариант с созданием западными вендорами собственных площадок на территории России, но пока этот путь еще никто не проходил и неизвестно вообще возможен ли он юридически?

Вот такая картина вырисовывается с готовящимися правилами сертификации средств защиты. Стремление ФСТЭК усилить контроль за заявителями и ужесточить требования к сертификации понятно, но оцениваются ли последствия принимаемых решений? Сегодня до сих пор не менее половины средств защиты, используемых теми же госорганами, - это иностранные решения. Если их не станет, то успеет ли российский рынок предложить соответствующую замену? Судя по вчерашнему обзору, отечественные разработчики пока не спешат занять высвобождающуюся нишу.

А вообще с наступающим всех праздником! Ведь это праздник не только защитников Отечества, но и киберзащитников киберотечества :-) Так что с праздником - одним или с двумя сразу!

21.02.2018

Является ли облачный провайдер субъектом КИИ?

Вчера в Фейсбуке прошла небольшая дискуссия на тему, является ли облачный провайдер субъектом КИИ, если он обрабатывает данные или хостит системы субъекта КИИ? Вопрос не праздный, так как сегодня многие организации с целью фокусировки на своем основном бизнесе отдают часть своей инфраструктуры или данных внешним провайдерам. А они в свою очередь должны соблюдать требования действующего законодательства. С выполнением ФЗ-152 проблем я не вижу - оператором ПДн является любая организация, обрабатывающая ПДн и устанавливающая цели и задачи обработки. Обработчик ПДн не должен выполнять некоторых обязанностей, присущих оператору, но, например, обеспечивать защиту должен в любом случае. С ФЗ-187 ситуация иная - понятие субъекта очень размытое и не всегда понятно, кто же под него попадает. Вот и давайте попробуем разобраться с этим применительно к облачным провайдерам и субъектам КИИ.

Самая простая ситуация, когда облачный провайдер является одновременно оператором связи. Тогда он просто по определению из ФЗ-187 становится субъектом КИИ и на него распространяются все или часть требований закона (в зависимости от наличия значимых объектов). А вот что делать, например, с облачным провайдером, не имеющим лицензии в области связи, но которому какая-либо финансовая организация, являющаяся субъектом КИИ, доверила обработку каких-либо данных?

Как мне кажется (это мое оценочное суждение) надо внимательно посмотреть определение субъекта КИИ. В рассматриваемом варианте с банком и облаком это юрлицо, которому на праве собственности, аренды или на ином законном основании принадлежит информационная система, функционирующая в банковской сфере. Принадлежит ли банку облачная ИС на праве аренды? В зависимости от модели (IaaS, PaaS или SaaS) да. А есть ли у облачного провайдера ИС, функционирующая в банковской сфере? А вот тут надо смотреть более внимательно. В случае с моделями IaaS и PaaS, я думаю, что нет. А вот в случае с SaaS надо изучать уже функционал конкретной системы. Хотя как мне кажется, даже этот случай не попадает под определение в законе. Иначе придется признать, что разработчик АБС или MS Word, проданного в банк, тоже является субъектом КИИ, а это нонсенс. Мне можно возразить, что в отличие от разработчика АБС, который выпускает только ПО, у облачного провайдера еще и данные обрабатываются. Верно, но ФЗ-187 никак не связан с охраняемой законом информацией. Объектом КИИ является только информационная система, АСУ или сеть связи. Иными словами, получается, что облачный провайдер не является субъектом КИИ, если у него нет лицензии или он не обеспечивает взаимодействие разных систем субъектов КИИ.

Значит ли то, что облачный провайдер - не субъект КИИ, что он не должен выполнять требования к субъектам КИИ? А вот это правильный вопрос. Если банк передает часть своих данных в облако, то это не снимает с него обязанности обеспечить защиту этих данных по требованиям 382-П, 21-го приказа ФСТЭК или ФЗ-187. Это обязанность, от которой нельзя отказаться и нельзя ни на кого переложить - ответственность за нарушение все равно ляжет на банк. Вспомните ФЗ-152. Вы могли привлечь сколь угодно много обработчиков ПДн, но ответственность за утечку ПДн лежала все равно на вас, а не на них. То есть субсидиарная ответственность в данном случае отсутствует и привлечь обработчика ПДн к ответственности можно только, если в договоре с ним прописаны требования, нарушение которых и привело к утечке и данный факт был доказан.

Аналогичная ситуация и с ФЗ-187. Субъект КИИ для облегчения свой жизни может привлекать кого угодно, но ответственность за нарушение ФЗ-187 все равно лежит на нем. Чтобы соблюсти все требования закона банк должен выставить соответствующие требования из подзаконных актов ФСТЭК (если у него есть значимые объекты) облачному провайдеру в рамках договора (если провайдер согласится). И тогда облачный провайдер должен будет соблюдать все требования ФСТЭК, но не потому, что он субъект КИИ, а потому что так написано в договоре между ним и банком.

Отдельно хочется остановиться на вопросе с присоединением облачного провайдера, выполняющего работы для банка, к ГосСОПКЕ. Эта тема вскользь была поднята во время выступления на Уральском форуме Алексея Новикова из Positive Technologies, рассказывающего о расследовании инцидентов в облачной инфраструктуре. Я ему задал вопрос, как он считает, как выполнить требование об отправке данных об инцидентах, произошедших в инфраструктуре облачного провайдера, работающего по договору с банком? К сожалению, он не смог сходу предложить пути решения этой непростой задачи. Я их тоже не вижу. Ответственность за отправку данных лежат на банке, как субъекте КИИ. Требования ФСБ (пока проекты) не подразумевают делегирования этой функции никому, кроме ведомственного или корпоративного центра ГосСОПКИ. Получается, что облачный провайдер должен направлять данные об инцидентах обратно банку, а он уже отправляет их в ГосСОПКУ. Да, это можно полностью автоматизировать, но все равно, цепочка получается непростая.


Вот такие рассуждения получились. Не претендую на истину в последней инстанции; допускаю, что у других специалистов может быть иное мнение. Но возможно какие-то идеи в этой заметке будут полезны. Ну и не забываем, что можно направить свои вопросы ФСТЭК. Хотя законодатели исключили из полномочий ФСТЭК право трактовать ФЗ-187, я думаю, ФСТЭК все равно будет получать множество вопросов о том, кто относится к субъектам КИИ и они будут высказывать свою позицию по данному вопросу.

А если все-таки регулятор решит, что облачный провайдер, работающий с субъектом КИИ, тоже субъект КИИ? Ну тогда мы попадем в ад, когда такими субъектами КИИ будут признаны аутсорсинговые Call Center, ЧОПы, кейтеринговые и клининговые компании, бизнес-центры, фитнесс-центры и т.п. организации, обслуживающие субъектов КИИ и предоставляющие им доступ к своим ИС.

UPDATE: Заметка вызвала некоторую дискуссию в Фейсбуке и Валерий Комаров обратил внимание на следующий момент. Как правильно, отметила Елена Торбенко на конференции, при определении того, является ли организация субъектом КИИ или нет, надо руководствоваться различными классификаторами деятельности. Одним из них является ОКВЭД 2, в котором есть класс 63.11 "Деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность". Этот класс ОКВЭД относится к разделу J "Деятельность в области информации и связи". То есть получается, что мои рассуждения не совсем верны. Облачный провайдер сам по себе является субъектом КИИ, работающим в сфере информации и связи, не взирая на то, кто с ним заключает договор и какие услуги он оказывает по договору. Лично для меня это неожиданный поворот, который показывает, что процедура категорирования не так проста, как казалось сначала :-( Я поторопился с выводами. Тут, конечно, можно сказать, что в ФЗ-187 говорится только о сфере связи, а облачный провайдер - это в первую очередь сфера информации, но это уже совсем иная дискуссия, более сложная и долгая. Попробовать пойти по этому пути можно, но с непредсказуемыми последствиями.

Анализ реестра сертифицированных средств защиты ФСТЭК за 2017 год

Чуть больше года назад я провел блиц-анализ реестра сертифицированных средств защиты информации ФСТЭК за интервал 2012-2016 годов (часть 1 и 2). И вот в предверие конференции ФСТЭК "Актуальные вопросы защиты информации" я решил проанализировать изменения, произошедшие в реестре за ушедший год. Мой особенный интерес был связан с вопросом, как меняется поведение игроков отечественного рынка ИБ в условиях санкций и импортозапрещения.

Основной тенденцией прошедшего года стало существенное (трехкратное) сокращение числа иностранных средств защиты, получивших сертификаты ФСТЭК. На мой взгляд это обусловлено несколькими причинами:
  • ужесточение требований по сертификации (и дальше будет только хуже, но об этом в следующей заметке)
  • курс на импортозапрещение и нежелание иностранных игроков бессмысленно тратить деньги на то, что невостребовано заказчиками.


Логично было бы предположить, что российские компании воспользуются возможностью и начнут активно разрабатывать (тем более, что с введения санкций прошло уже 4 года - достаточный срок для создания средства защиты) новые типы средств кибербезопасности. Увы. И хотя общее число сертификатов на отечественные СрЗИ чуть выросло по сравнению с предыдущими годами, новых средств так и не появилось. Повторюсь, что на гистограмме ниже показаны цифры для традиционных средств защиты информации - всякие защитные фольги, генераторы шума, системы защиты локомотивов и т.п. я в эти цифры не включал.


Вообще динамика сертификации традиционных средств защиты выглядит не очень позитивно - число сертифицированных решений неуклонно снижается, что связано, на мой взгляд, с серьезным ужесточением требований ФСТЭК по оценке соответствия. Даже российские компании не всегда в состоянии их выполнить, не говоря уже об "иностранцах". А уж поддерживать сертифицированное решение в актуальном состоянии и вовсе задача неподъемная для многих.


Очевидно, что санкции повлияли на общее число сертификатов, выданных ФСТЭК, с небольшим преимуществом для российских компаний.


Из отдельных тенденций я бы отметил еще следующее:
  • за прошедший год в России не было сертифицировано ни одного промышленного МСЭ и это несмотря на активную шумиху вокруг темы защиты АСУ ТП и безопасности КИИ
  • прикладных МСЭ (класс В) сертифицировано всего... 1 изделие, а всего по новым требованиям к МСЭ было выдано 8 сертификатов по классу А и 4 - по классу Б
  • систем обнаружения атак было сертифицировано по 3 каждого класса = сетевого и хостового
  • несмотря на шумиху вокруг темы SOC и активную разработку отечественных SIEM, сертификат на данные типы средств (необходимы для получения лицензий ФСТЭК на мониторинг ИБ) был выдан всего 1 (на MaxPatrol SIEM)
  • а вот IDMов было сертифицировано целых 5 - и отечественных, и иностранных
  • из отечественных офисных решений заветную бумажку получил только "МойОфис", отечественное сетевое оборудование отметилось всего одним сертификатом ФСТЭК (на Cisco при этом было выдано около десятка сертификатов), а также было сертифицирована одна "отечественная" ОС (Нейтрино). Известные Альт Линукс и некая EcoRouter были сертифицированы почему-то как СВТ. И если для Альт Линукс это еще можно понять (хотя РД на ОС уже были), то сетевая ОС как СВТ?.. Это за гранью.
Что в свухом остатке? Если раньше термин "импортозапрещение" вместо "импортозамещения" звучал как шутка, то проведенный анализ показывает, что это вполне реальное отражение дел. Отечественных решений больше не стало ни количественно, ни качественно, а число зарубежных сократилось в разы. Иногда упоминаемый министром связи термин "экспортопригодность" тоже показал свою полную недееспособность - взрывного интереса иностранцев к российским решениям не появилось, а там, где некоторые российские ИБ-производители чувствовали себя вполне уверенно, начались проблемы (вспомним кейс с Лабораторией Касперского в США, Великобритании и др.).

И надо признать, что ситуация будет только хуже. Во-первых, ФСТЭК еще больше ужесточает требования по сертификации (про это я напишу завтра). Во-вторых, заказчики не имеют возможности брать то, что им нужно. Иностранное они не могут, а отечественного просто нет (я даже не говорю, когда отечественное хуже, а именно про те ситуации, когда отечественного вообще нет). В-третьих, иностранные вендоры боятся или физически не могут сертифицировать свои продукты в России. В-четвертых, на развитие отечественной ИБ-отрасли денег как не выделяли, так и не выделяют.А тут еще грядет цифровая экономика, для которой нужно еще больше ИТ/ИБ-решений, чем было раньше. И где их брать при существующих требованиях по ИБ, выставленных государством? Если на 2018-й год программа "Цифровой экономики" по направлению ИБ требует 5 миллиардов рублей, то правительство выделило всего 500 миллионов. И что на эти деньги можно сделать? Ничего :-(

ЗЫ. Снижение числа сертификаций означает еще и тот факт, что у испытательных лабораторий могут начать сложности с финансированием, что приведет либо к сокращению числа лабораторий, либо к увеличению цен на сертификацию, либо к снижению качества сертификации при тех же ценах. И все эти варианты непозитивны :-(

20.02.2018

#ibbank Удаленная биометрическая идентификация и ее обход мошенниками, использующими нейросети

На Уральском форуме очень много говорилось о том, как полезна и удобна удаленная биометрическая идентификация с точки зрения клиента, а у банков появляется новая возможность для зарабатывания денег, потому что увеличивается число клиентов, которые смогут проходить идентификацию без физического присутствия в отделении банка. Особенно много может появиться таких клиентов из удаленных регионов, где физически сложно присутствовать в отделении кредитной организации для проведения тех или иных операций.

Но совершенно неозвученной оказалась тема безопасности хранилища биометрических данных, применяемых для удаленной идентификации. Да и вообще тема безопасности самой биометрической идентификации осталась незаслуженно обойденной вниманием. Но в отличие от хранилища биометрических паспортов, доступ к которому имеет ограниченное количество лиц, к базе биометрических данных всех граждан Российской Федерации в ЕСИА получают доступ все банки, Почта России и другие организации. А значит риски возрастают многократно. И если в случае кражи или подмены обычного логина и пароля их легко заменить, то заменить биометрические данные становится проблематично.

В этом контексте мне понравился мастер-класс, который на пару вели представители Информзащиты и Oz Forensics. Это, кстати, был единственный пример, когда выступление было разделено между двумя спикерами, играющими свои роли, которые передавали друг другу слово по мере рассказа.

Начав с исторического экскурса в историю фальсификации фотографий:


докладчики перешли к примерам угроз для систем биометрической идентификации:


а потом немного коснулись темы применения искусственного интеллекта... нет, не в средствах защиты, а наоборот, мошенниками и киберпреступниками:


А перед описанием защиты от такого рода угроз был дан неплохой обзор (хотя и короткий) особенностей средств биометрической идентификации и того, как они принимают решения о достоверности представленных биометрических данных и их совпадении с имещимся в хранилище эталонным образцом. Там тоже есть множество нюансов, которые могут превратить национальную систему идентификации в тыкву, если не подумать о нивелировании этих рисков.

Но к сожалению, о безопасности удаленной биометрической идентификации на форуме не говорилось. То ли потому, что сказать пока нечего, то ли потому, что никто не хотел привлекать внимание к тому, как можно обойти систему, которая может стать одним из центральных звеньев будущей стратегии развития ЦБ. Хорошим финалом для этой темы (или промежуточной точкой) стал доклад Алексея Сабанова из Аладдина, который привел ссылки на большое количество международных стандартов по идентификации и аутентификации, в которых прямо написано, что биометрия не является надежным методом идентификации и не должен использоваться как единственный механизм проверки подлинности гражданина, получающего доступ к финансовым услугам. "Безопасность биометрии сродни домофону", так закончил свой доклад Алексей Сабанов и также хочу завершить заметку и я.

Конференция ФСТЭК: критическая инфраструктура

На прошлой неделе в Москве прошла конференция ФСТЭК "Актуальные вопросы защиты информации", которая была посвящена 4-м основным направлениям, которые будут главенствовать у нашего регулятора в ближайшей перспективе:


Эта заметка будет посвящена первому направлению - безопасности критической информационной инфраструктуры, регулятором по которой в конце прошлого года была назначена ФСТЭК России. По данному направлению от ФСТЭК выступало 4 сотрудника, которые рассказали о своем видении того, что будет драйвить рынок ИБ в России в ближайшее время. Позволю себе тезисно повторить то, что говорилось на конференции (в дополнение к ответам на те вопросы, что давала ФСТЭК в рамках конференции):
  • По словам Дмитрия Шевцова ФСТЭК утвердила 5 приказов, 2 из которых уже утверждены Минюстом, а 3 проходят эту процедуру сейчас.
  • Проект Постановления Правительства по надзору скоро должен быть принят несмотря на отрицательную оценку на портале regulation.gov.ru. Но как показывает практика это врядли повлият на принятие - документ примут. Он устанавливает общие правила надзора со стороны ФСТЭК по данной теме. Я более чем уверен, что ФСТЭК не будет повторять путь РКН и не начнет расширять перечень оснований для проведения плановых и внеплановых проверок.
  • Несмотря на то, что первые плановые проверки ФСТЭК начнет проводить только через 3 года после внесения значимого объекта в реестр объектов КИИ (то есть спустя минимум 4 года с текущего момента), не стоит думать, что субъекты КИИ могут расслабиться. Существуют еще прокурорские проверки, которые по данной теме проводились, проводятся и будут проводиться достаточно активно.
  • Утвержденные приказы ФСТЭК большой акцент делают на оценке соответствия средств защиты информации объектов КИИ и самих значимых объектов КИИ. Обратите внимание, что обязательная сертификация для средств защиты не требуется - по решению субъекта КИИ или в случаях, установленных законодательством (например, если объект КИИ = ГИС). В остальных случаях оценка соответствия средств защиты осуществляется в форме испытаний или приемки.
  • Никаких документов, регламентирующих испытания и приемку средств защиты, разрабатывать не предполагается. ФСТЭК всех отправляет к ФЗ-184 о техническом регулировании и к соответствующим ГОСТам по формам оценки соответствия автоматизированных систем, подробно рассматривающим данный вопрос, но в более широком контексте.
  • Оценка соответствия самого объекта осуществляется в форме приемочных испытаний (никак не регулируется) или в форме аттестации, если объект КИИ является ГИС или если субъект КИИ принял такое решение.
  • Если объект КИИ является ГИС, ИСПДн или АСУ ТП, то наряду с документами ФСТЭК по КИИ должны применяться уже имеющиеся документы по ГИС, ИСПДн и АСУ ТП соответственно. С 31-м приказом ситуация следующая. Если объект значимый, то применяется приказ ФСТЭК по КИИ, а если незначимый, то 31-й приказ. При этом никто не запрещает для незначимых объектов АСУ ТП также применять приказ ФСТЭК по КИИ, а для значимых - дополнять требования приказа ФСТЭК по КИИ требованиями 31-го приказа, который гораздо лучше учитывает специфику АСУ ТП, чем общий приказ по КИИ.
  • Во второй половине 2018-го года планируется выпустить единую методичку ФСТЭК по мерам защиты, которая придет на смену существующей методичке по мерам защиты в ГИС. Будет единое описание мер защиты для всех открытых приказов ФСТЭК.
  • На животрепещущий вопрос о том, кто является субъектом КИИ, ФСТЭК в лице Елены Торбенко привела рекомендацию на иллюстрации ниже. Она работает в тех случаях, когда организация четко не ложится в 12/13 отраслей, упомянутых в ФЗ-187. Но надо четко для себя уяснить, что финального списка субъектов КИИ нет и быть не может. 
  • Категорирование объектов КИИ осуществляется по процедуре и в порядке, описанных в ПП-127, утвержденном 8-го февраля и опубликованном 13-го февраля.
  • Я вновь, уже в третий раз вернусь к непростой теме, связанной с составлением перечня объектов КИИ, который должен согласовываться с отраслевым регулятором. Как и советовал Дмитрий Шевцов, во всех спорных случаях надо проконсультироваться с ФСТЭК по адресу: otd22@fstec.ru, что я и сделал. В результате общения с регулятором вырисовывается следующая блок-схема для 15-го пункта ПП-127. В финальной версии ПП-127 ряд важных фрагментов убрали, но если обратить внимание на проект Постановления Правительства, то начинается все с составления перечня объектов КИИ. Потом процедура раздваивается в зависимости от того, кем является субъект КИИ, - подведомственным предприятием для ФОИВ или госкорпораций и иных юрлиц или обычной коммерческой структурой. Если первое, то перечень должен быть сначала согласован с отраслевым регулятором, например, с Минпромторгом или Росатомом или Роскосмосом. А, например, банки не должны ничего согласовывать с ЦБ (даже несмотря на заявления представителя Аппарата Правительства на Уральском форуме). И энергетики не должны. И операторы связи не должны. Затем наступает процедура утверждения перечня в разумные сроки после его составления. Согласно правилам подготовки и прочтения НПА если в отношении какой-либо нормы нет особого указания о сроках ее действия, то она вступает в силу с момента вступления в силу самого НПА. В проекте ПП-127 говорилось о шести месяцах; в финале этот срок убрали. Значит перечень должен быть утвержден к моменту вступления в силу ПП-127. то есть к 20-му (а не 23-му) февраля. Да, это нелогично и невыполнимо, но так есть. После утверждения перечня, в течение пяти дней он направляется в ФСТЭК.
  • Версия с согласованием перечня только подведомственными предприятиями подтверждается и текстом самого ПП-127, и презентацией Елены Торбенко, где перечисляются некоторые лица, с которыми согласовывался проект ПП-127.
  • В соцсетях сейчас активно идет обсуждения срока подготовки перечня объектов КИИ и разговоры о том, что раз сроков нет, то и выполнение этой задачи можно растянуть на неограниченное количество времени. Я бы хотел напомнить всем про ФЗ-152, в котором тоже нигде ни для какой процедуры не установлены сроки их реализации. Но ни у кого не возникало вопросов по поводу моделирования угроз, утверждения перечня ПДн, назначения ответственных и т.п. Закон вступил в силу и все пошли его выполнять. И, кстати, закон тоже был отсроченного действия (вступал в силу через 180 дней поле принятия) и до момента вступления в силу никто даже не парился на тему его выполнения. Правда и потом никто не парился - все напряглись только после принятия четверокнижия ФСТЭК. В случае с ФЗ-187 ровно такая же ситуация со сроками. И не забывайте, что помимо ФСТЭК надзором занимается еще и прокуратура и будет сложно объяснять прокурору, пришедшему с проверкой, что перечня объектов нет, потому что непонятны сроки выполнения задачи. Также прокуроров мало волновал статус 31-го приказа ФСТЭК по АСУ ТП - они просто наказывали энергетиков за его неисполнение. Поэтому выводы делайте сами. Я лично не вижу большой проблемы в составлении перечня объектов КИИ. Тут могут сильно помочь уже проведенные классификации ГИС, ИСПДн, АСУ ТП, КСИИ, ИСИОД, ИСОП и т.п.
  • После категорирования материалы направляются в ФСТЭК и информация вносится в реестр или просто принимается к сведению, если объект незначимый и у ФСТЭК нет претензий к выставленным категориям.

Вот,  примерно так выглядела часть конференции ФСТЭК, посвященная безопасности КИИ в моей интерпретации. 

19.02.2018

#ibbank Финансовая организация как КИИ

В последний день Уральского форума прошла сессия, посвященная критической информационной инфраструктуре в разрезе финансового рынка. Я не буду пересказывать все доклады этой сессии, коснусь только выступления Андрея Выборнова из ГУБиЗИ Банка России, который осветил взгляд регулятора на применение ФЗ-187 к финансовым организациям. Тезисно, я бы отметил следующее:
  • Все финансовые организации без исключения являются субъектами КИИ и обязаны будут подключаться к ГосСОПКЕ


  • Информационные системы банков, страховых, микрофинансовых организаций, бирж и т.п., включая АБС, ДБО, Интернет-банк, CRM, HRM и т.д. являются объектами КИИ. Часть из них является значимыми объектами, а часть нет. Для отнесения объектов к значимым или нет используется ПП-127, принятое 8 февраля, а вступающее в силу 20 февраля (через 7 дней после опубликования).
  • Категорировать объекты надо не всем субъектам КИИ, а тем, кто перечислен в моей заметке. У остальных будут незначимые объекты, о чем можно сразу и уведомить регулятора. 
  • Все значимые объекты должны защищаться по требованиям ФСТЭК (приказы №235 и №239). По мнению ЦБ принятый СТО и планируемый к обязательному применению ГОСТ 57580.1 закрывают все требования приказов ФСТЭК. На мой взгляд это не совсем так - есть требования, которые документами ЦБ не закрываются (хотя в массе своей это так). Например, в части выбора средств защиты информации и компаний, оказывающих для этих средств техническую поддержку.
  • Все финансовые организации как субъекты КИИ должны присоединиться к ГосСОПКЕ для отправки в нее информации об инцидентах.
  • Есть тонкий момент, на который я бы хотел обратить внимание еще раз. В настоящий момент ФинЦЕРТ не является ни корпоративным, ни ведомственным центром ГосСОПКИ. С юридической точки зрения. На форуме прозвучало, что сейчас ведется работа по получению ФинЦЕРТом более официального статуса в ГосСОПКЕ. Пока же тема передачи информации об инцидентах остается незакрытой. Надо ли дублировать данные в ФинЦЕРТ и ГосСОПКУ или достаточно только передавать данные в ФинЦЕРТ, а он сам будет передавать данные в ФСБ? Будет ли ФСБ требовать жесткого соблюдения закона или даст возможность на переходный период работать финансовым организациям через ФинЦЕРТ? Нет ответа на эти вопросы. Представителей ГосСОПКИ на мероприятии вообще не было, а ЦБ пока не имеет готового ответа.
  • Последний момент касается сюрприза, прозвучавшего на конференции ФСТЭК, о том, что субъекты КИИ должны отправить отраслевому регулятору перечень объектов КИИ до 23-го февраля 2018-го года. По версии регулятора этот перечень должен готовиться только подведомственными организациями, которые есть далеко не у всех (преимущественно ФОИВы и госкорпорации). Это, конечно, тоже не сахар, но хотя бы коммерческие субъекты КИИ останутся вне этого требования. Однако на Уральском форуме поправки в эту точку зрения внес Аппарат Правительства, представитель которого заявил, что все субъекты КИИ без исключения должны составлять перечень и отправлять его своему отраслевому регулятору. Правда, на вопрос, сколько времени нужно на составление перечня, "аппаратчик" заявил, что по его мнению, не менее шести месяцев (как и было в проекте ПП-127). На вопрос о 23-м февраля он не смог ничего ответить. В итоге мы имеем очередную темную зону законодательства о безопасности КИИ, которая возникла из-за низкого качества ФЗ и подзаконных актов, возникших в свою очередь из-за сверхмалых сроков подготовки всех НПА и нежелания инициаторов закона прислушиваться к мнению экспертов, которые указывали на многие косяки, которые мы сейчас разгребаем.
В качестве резюме просто порекомендую финансовым организациям внимательнее присмотреться к ФЗ-187 и подзаконным актам. Эта тема в ближайший год станет достаточно актуальной для многих финансовых структур.

#ibbank Направления развития финтеха ЦБ в проекции на деятельность безопасников

Одной из задач любого руководителя ИБ является учет не только сиюминутных потребностей своей организации, но и анализ тенденций, которые будут влиять на предприятие и на обеспечение его безопасности. В своей презентации о тенденциях ИБ в мире и России я уже приводил 5 ключевых направлений, которые влияют на кибербезопасность финансовых организаций:
  • угрозы
  • нормативка
  • бизнес
  • финтех
  • ИТ.
Вот собственно о последних двух и будет эта заметка. На самом деле это будет не полноценный текст, а скорее иллюстрация из презентации первого заместителя Председателя Банка России Скоробогатовой Ольги Николаевны, которая курирует в ЦБ направления ИТ и финтеха, а также НПС и ряда других.


Посмотрите на эту высокоуровневую схему того, чем планирует заниматься ЦБ в ближайшее время. Два блока - развитие текущих и разраобтка новых направлений. Их текущих:

  • перспективная платежная система
  • НСПК (альтернатива международных платежных систем)
  • СПФС (альтернатива международного SWIFT)
  • ЕСИА (в части биометрической удаленной идентификации)
  • распределенные реестры (то есть блокчейн).
Из новых, и это самое интересное, надо выделить:
  • Финансовый маркетплейс. Это некий аналог eBay или Интернет-магазина, но для финансового рынка, где будут сосредоточены все финансовые продукты потребителя и он сможет увидеть свои вклады, ценные бумаги, заказать полис ОСАГО в понравившейся страховой компании. Задача ЦБ - следить за всеми финансовыми транзакциями граждан.
  • Платформа для регистрации финансовых сделок. Эта система позволит гражданину отслеживать все свои операции по всем финансовым продуктам и в спорных ситуациях использовать эту информацию в суде. По сути речь идет о смарт-контрактах.
  • Платформа быстрых (мгновенных) платежей. Система на базе мастерчейна (блокчейна) предназначена для проведения мгновенных розничных платежей.
  • Сквозной идентификатор клиента. Этот ID, в том числе и на базе биометрии, нужен для того, чтобы заработал финансовый маркетплейс и потребитель имел единый и сквозной идентификатор для всех своих продуктов.
  • Платформа для облачных сервисов. Ну тут все ясно. Чтобы заработало все вышеописанное нужна облачная платформа.
Учитывая, что часть упомянутых систем уже пилотируется, то у безопасников финансовых организаций в самом ближайшем времени начнутся интересные времена, которые потребуют новых знаний и компетенций. Недавно в Фейсбуке Дима Мананников задался риторическим вопросом: "Почему безопасники так прохладно относятся к таким темам как блокчейн, смарт-контракты и т.п.?" Да, уязвимости активно изучаются хакерами всех оттенков серого, но вот сами безопасники пока не очень погружаются в то, что уже активно внедряется финтехом по всему миру. Это может в очередной раз привести к риторическому вопросу, зачем нужен безопасник, который не понимает потребностей бизнеса?

Кстати, на иллюстрации Ольги Скоробогатовой есть еще один интересный фрагмент, который потребует внимания безопасников - API ко всем упомянутым системам. Дело в том, что многие из предлагаемых ЦБ платформ будут разработаны либо им самим, либо отдельными игроками рынка, коих будет всего несколько. А значит решать вопросы безопасности в них придется их авторам и эксплуатантам (операторам). А вот интеграция с ними через API - это то, что должно будет волновать безопасника любой финансовой организации, так как именно через API смогут реализовываться многие атаки на централизованные платформы из доклада первого зампреда ЦБ.

ЗЫ. Интересно, что в программе Уральского форума, все эти темы, исключая удаленную идентификацию и НСПК, не нашли никакого отражения. И это тоже показательно :-(

Уральский форум за 15 минут (презентация и видео) #ibbank

По сложившейся традиции в конце каждого Уральского форума по информационной безопасности финансовых организаций я делаю обзор всего того, что говорилось в течение 4-х дней конференции. Начинал я с 15-тиминутного обзора, но учитывая, что в этом году программа была двухпоточной, то уложиться в 15 минут стало почти невозможно. Поэтому говорил я в этот раз дольше обычного, но традиция традицией - название осталось прежним. Следующие заметки я посвящу чуть большим деталям, а сейчас я просто выкладываю саму презентацию. Тем более, что многим участникам надо готовить отчеты по командировке :-)



Помимо презентации есть еще и видео, которое писалось Андреем Прозоровым:



и Национальным Банковским Журналом:

16.02.2018

Oracle покупает Zenedge

15 февраля Oracle анонсировала подписание соглашение о покупке Zenedge, поставщика облачных решений по сетевой и инфраструктурной безопасности (WAF и DDoS). Размер сделки не сообщается.

Подарок ФСТЭК к 23-му февраля, перечень объектов КИИ и выборы Президента

Вообще мне впору сейчас писать заметки про Уральский форум, замечательную программу, интересные доклады и мастер-классы, а также новые веяния в регулировании финансовой отрасли, но я решил отложить это на следующую неделю. А эту заметку посвящу новости, которая вызвала большое обсуждение в Фейсбуке, в Телеграме, да и на форуме в Магнитогорске тоже. Причем реакция некоторых банкиров меня удивила - для них тема КИИ оказалась чем-то новым и ранее неизведанным. Они спрашивали, а что, мы тоже относимся к КИИ и должны выполнять требования ФЗ-187? Так что отчасти моя заметка будет касаться и того, что сегодня как раз должно обсуждаться на одной из сессий форума.

Речь идет о громком заявлении ФСТЭК, прозвучавшем в среду на конференции "Актуальные вопросы защиты информации" в контексте выполнения требований нового ПП-127 о категорировании объектов КИИ. В заметке, которую я опубликовал как раз в среду, я упомянул, что из финального варианта ПП-127 исчез пункт о том, что на составление перечня объектов КИИ выделяется 6 месяцев, после чего этот перечень согласовывается с отраслевым регулятором и в течение года проводится категорирование объектов КИИ. Так вот ФСТЭК заявила, что перечень объектов надо составить до... 23 февраля 2018-го года. То есть на все осталось 7 дней, включая выходные. 7 дней на составление перечня объектов КИИ!

Почему 23-е февраля и где это написано? Нигде! Этот срок нигде не указан. Он, насколько я понял, вытекает из мнения, что Постановления Правительства вступают в силу через 10 дней после официального опубликования, которое для ПП-127 было 13-го февраля. На самом деле через 10 дней вступают в силу федеральные законы (если срок не оговорен особо), а Постановления Правительства вступают в силу через 7 дней после официального опубликования. Хорошо, что не все знают про 7 дней, а то бы перечень надо было составить не к 23-му, а к 20-му февраля :-)  Раз больше в ПП-127 не говорится о сроке подготовки перечня, то... и вот тут моя логика дает сбой. Я не могу найти ни одного обоснования, почему 23 февраля?

ПП-127 вступает в силу только 20-го февраля (ну, допустим, 23-го, если иметь ввиду срок в 10 дней). До этого момента никаких юридических оснований заниматься категорированием и составлением перечня у субъекта КИИ нет. Он не должен ничего делать раньше установленного срока. К тому же хочу отметить, что составление перечня объектов - это 4-й пункт в процедуре категорирования. До этого надо определить все процессы, выделить из них критические, определить объекты и только потом составить их перечень и утвердить его (а еще и соответствующую комиссию надо создать). Направить утвержденный перечень надо в ФСТЭК в течение 5 рабочих дней после утверждения. То есть если ПП-127 вступает в силу 20 февраля, то "в течение пяти рабочих дней" - это 28 февраля, а не 23-е. Понятно, что в условиях цейтнота можно первыми тремя этапами пожертвовать и сразу составить полный перечень всех ИС и АСУ и отправить его отраслевому регулятору, но все равно срок на составление такого перечня оооочень маленький.

Но есть еще один момент, на который я бы обратил внимание. Согласно п.15 ПП-127 после составления перечня он утверждается субъектом КИИ и только потом согласовывается с отраслевым регулятором. Но... госорганы у нас обычно отвечают на запросы (и это если повезет) в течение 30 дней, а через пять дней после утверждения перечень уже должен быть направлен в ФСТЭК, что невозможно выполнить чисто физически. Даже если бы не было даты 23-го февраля. Тут или не согласовывать с отраслевым регулятором, нарушая одно требование ПП-127, или не успеть за 5 дней направить перечень в ФСТЭК, нарушая другое требование.

Что же, блин, делать? Нарушать! Вы ничего не можете поделать. Вы все равно, но какой-нибудь пункт ПП-127, но нарушите (ответственности за это никакой). Поэтому я бы (мне легко советовать, да, я не субъект КИИ) следовал процедуре, описанной в ПП-127. Составил бы перечень объектов КИИ, отправил бы его отраслевому регулятору на согласование и потом направил бы перечень в ФСТЭК. Но если честно, то этот перечень в текущей формулировке ПП-127 нафиг никому не нужен. Обратите внимание. Вы направляете перечень в ФСТЭК и... все! На этом данная ветвь ПП-127 завершается. ФСТЭК ничего не делает с этим перечнем. ФСТЭК ждет от вас сведений о категорировании, которые вы должны направить регулятору в течение года с момента вступления в силу ПП-127, то есть до 20 февраля (ну или 23-го, если мы уж так привязались к этой дате) 2019 года, которые затем заносятся в соответствующий реестр. Именно категорирование является целью ПП-127, а не составление какого-то перечня, который никому не нужен - ни вам, ни ФСТЭК, ни отраслевому регулятору.

Однако, закон есть закон. И коль скоро с отраслевым регулятором надо что-то согласовать, то лучше это сделать, так как это будет доказательством того, что вы не бьете баклуши, а реально выполняете требования законодательства. И отправку перечня отраслевому регулятору лучше не затягивать. Причина тому выбору Президента, которые состоятся 18 марта. Потом будет инагурация, потом Правительство по закону должно уйти в отставку, потом будет формирование Правительства, потом его согласование. Если какие-то ФОИВ исчезнут или сменят своего руководителя (а это вполне реально), то начнется неразбериха с подчиненностью исчезнувших ФОИВ, сменой команд в министерствах, выработкой новых/старых правил игры и т.д. Процедура эта небыстрая. Лучше согласование перечня завершить до выборов. Хотя до них уже и осталось меньше 30 дней, выделенных на ответ ФОИВ на запросы.

ЗЫ. Кстати, косяков с законодательством по безопасности КИИ будет еще много. Очень уж оно сырое, что и понятно - в такие сроки нельзя написать что-то достойное и без ошибок. Но тут уж ничего не поделаешь...

ЗЗЫ. Есть мнение, что согласование перечня нужно только подведомственным каким-то ФОИВ предприятиям и коммерческие предприятия сюда не попадают. Это должно вытекать из того же п.15. Но меня в той формулировке смущает фраза не только про госорган, выполняющий функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, но и про такое же российское юрлицо. Если бы приписки про юрлицо (может это Центробанк?) не было, можно было бы согласиться с этой удобной для коммерческих субъектов версией. В итоге надо внимательно читать полномочия отраслевых регуляторов - на кого распространяется их право по выработке госполитики. Например, тот же Минкомсвязь у нас вырабатывает госполитику в области ПДн, то есть является "главным" для всех операторов ПДн...

15.02.2018

Ответы ФСТЭК на вопросы по КИИ

За некоторое время до вчерашней конференции ФСТЭК "Актуальные вопросы защиты информации" от регулятора поступило предложение о сборе вопросов, которые волнуют отрасль в контексте принятого ФЗ-187 по безопасности критической информационной инфраструктуры. Я кинул клич в группу по безопасности АСУ ТП в Facebook и в соответствующий канал Телеграма. Не очень активно (и это удивительно для такой новой темы), но удалось собрать 31 вопрос, на которые в рамках конференции ответил Дмитрий Николаевич Шевцов. Так как не все были на мероприятии, то я позволил себе выложить записанные мной ответы в блог:
  1. Когда примут нормативные акты к ФЗ 187?
    • Из 4-х приказов ФСТЭК приняты регулятором все; 3 из них находится на регистрации в Минюсте. По остальным НПА вопрос соответственно надо задавать ФСБ и Минкомсвязи.
  2. Считает ли ФСТЭК деятельность ведомственных/корпоративных центров ГосСОПКИ лицензируемой по ТЗКИ? Речь про конкретный вид деятельности - мониторинг событий ИБ.
    • Если речь идет об оказании услуг третьим лицам, то да, деятельность лицензируется.
  3. Если речь идет о группе промышленных предприятий, для которых функции SOC выполняет управляющая компания, то нужна ли этой УК лицензия ФСТЭК на мониторинг ИБ?
    • Обязательно нужна.
  4. На сайте ФСТЭК прямо указано, что направление документов с ИОД осуществляется, только при наличии лицензии на ГТ. При этом переписка по проверке значимых объектов с субъектом КИИ минимум ДСП. Как ФСТЭК собирается организовать проверку субъектов, не имеющих данную лицензию? Это требование о наличии лицензии ГТ обещали убрать с сайта ещё в 17 году, я задавал вопрос в рамках оформления лицензий.
    • Ограничение на ГТ касается только документов; на распространение другой информации таких ограничений нет.
  5. На сайте ФСТЭК опубликована выписка из плана по разработке документов на 2018 год. В нем только положение о сертификации СЗИ. Никаких изменений в 17/21/31 приказ не планируется, никаких дополнительных документов по КИИ. ФСТЭК не видит актуальности в изменении?
    • Изменения в 17/21/31 приказы будут во втором полугодии 2018-го года. В выписке из плана далеко не все запланированные документы.
  6. Почему не хотят привести меры защиты к 17/21/31/ КИИ к сквозной нумерации и единым наименованиям.
    • Все будет сделано во втором квартале 2018-го года.
  7. Почему не учтен опыт совместного использования 17 и 21 приказа при разработке приказа по КИИ? Речь про п. 27 приказа 17. Зачем дополнительные сложности для оператора ГИС, которая стала значимым объектом КИИ? Будет ли проводиться корреляция требований между КИИ и 17 приказом. Вопрос особенно интересно стоит для тех владельцев неГИС, кто недавно попал под 17 приказ, но также и попадает под КИИ
    • ФСТЭК не видит проблем с одновременным выполнением приказов по КИИ и по ГИС - выбирать по максимальному из требований. 
  8. Как выделять объекты КИИ, например, у банков?
    • Субъект КИИ сам определяет свои объекты и проводит границы.
  9. В проекте постановления Правительства по категорированию объектов КИИ указано, что перед категорированием нужно согласовывать со ФСТЭК и отраслевым регулятором перечень объектов КИИ, подлежащих категорированию. Как должен выглядеть этот процесс? Что делать, если у ФСТЭК и отраслевого регулятора разные точки зрения на перечень объектов, подлежащих категорированию?
    • В финальном тексте ПП-127 согласование осталось только с отраслевым регулятором.
  10. Согласно проекту постановления Правительства по категорированию объектов КИИ категория определяется при создании или модернизации объекта КИИ. Что делать с действующими объектами КИИ, модернизация которых в ближайшее время не предусмотрена?
    • Согласно ПП-127 категорирование осуществляется и для действующих объектов КИИ, перечень которых надо составить после вступления в силу ПП-127.
  11. Объекты водоснабжения и водоотведения по закону не являются объектами КИИ, все верно?
    • Четкого ответа нет - надо смотреть на виды деятельности конкретного субъекта. Про пищевую промышленность вообще забыли спросить - там картина вообще непонятная - в списке критических отраслей их в принципе нет.
  12. Получение телеметрии с подстанций (без телеуправления) попадает под действие КИИ?
    • Да, так как на основе телеметрии могут приниматься управляющие воздействия и решения.
  13. Когда актуален 31-й приказ, а когда подзаконники по 187-ФЗ
    • Если объект значимый, то используется приказ ФСТЭК по КИИ. Если объект незначимый, то можно применять как 31-й приказ ФСТЭК, так и приказ по КИИ.
  14. В соответствии с какими методическими документами предполагается проведение моделирование угроз на КИИ?
    • Работа над документами ведется. Пока руководствоваться Банком данных угроз и здравым смыслом.
  15. Требуется ли сертификация на соответствие АСУТП требованиям ФСТЭК? Если да, то кто её проводит? М.б. достаточно декларации?
    • Сертификация не предусмотрена - только аттестация по требованиям безопасности или приемочные испытания АСУ ТП, включая и защитные меры.
  16. Если сертификация требуется, то что должно сертифицироваться: программно технический комплекс для создания АСУТП или АСУТП конкретного объекта? Или и то и то?
    • Не требуется.
  17. На какие АСУТП распространяются требования приказа ФСТЭК? Обязательны ли они к исполнению? Каким образом осуществляется контроль исполнения требований?
    • 31-й приказ не является обязательным и контроль исполнения его требований не предусмотрен в отличие от приказа по КИИ.
  18. Обязан ли проектировщик предусматривать в проектах АСУТП мероприятия по приведению системы в соответствие с требованиями ФСТЭК или это решение принимает заказчик?
    • Это ответственность заказчика, но проектировщику неплохо бы напоминить заказчику о требованиях по ИБ, если последний о них забыл.
  19. Есть производственный цех, например, прокатный стан. Согласно документации стан состоит из 3-х АСУ ТП. При составлении перечня объектов КИИ возможно 3 АСУ ТП объединить в один объект КИИ? Что может выступать основой определения границ информационных систем?
    • Субъект КИИ сам определяет границы объекта. В данном случае это может быть и один объект КИИ и три.
  20. Есть группа промышленных предприятий, которые будут отнесены к КИИ. Есть управляющая компания. Будет ли ее головной офис являться субъектом КИИ? Нужно ли этому головному офису вообще проходить категорирование?
    • Нужно смотреть конкретную ситуацию, но вероятнее всего головной офис будет тоже отнесен к КИИ.
  21. У предприятия есть корпоративная ИС, в которую стекается вся информация о деятельности предприятия, начисляется зарплата, делается отчетность для налоговой и т.д. Эту систему надо включать в перечень объектов КИИ?
    • Ответить не видя конкретной ситуации затруднительно.
  22. Что будет считаться гостайной, упомянутой в ФЗ-187?
    • Ждем поправок в Указ Президента №1203, которые подготовлены и в скором времени будут утверждены.
  23. Когда будет разработан методический документ по мерам защиты на объектах КИИ?
    • 2-й квартал 2018 года. Будет единая методичка по всем приказам ФСТЭК (17/21/31/КИИ).
  24. Как поступать с объектами, чьи категории не выше третьей, но если атака будет одновременной сразу на несколько из них, то ущерб может наступить как у 2-й или даже 1-й категории?
    • Как предписывает категория; в данном случае 3-я.
  25. Какова юридическая судьба документов по КСИИ? И что делать, если на промышленном предприятии в нормативных актах упоминается этот термин? Менять?
    • Забудьте про них. Меняйте КСИИ на КИИ.
  26. ИС бухгалтерии субъекта КИИ тоже будет относиться к объектам КИИ?
    • Надо смотреть конкретную ситуацию, но она точно должна рассматриваться в рамках категорирования, но возможно она будет незначимым объектом КИИ.
  27. Кто сертифицирует SIEM, используемые в SOCах, подключенных к ГосСОПКЕ, - ФСТЭК или ФСБ?
    • Если речь идет об оказании услуг третьим лицам, то нужна лицензия ФСТЭК на мониторинг ИБ. Требования к лицензиатам доступны - требуется сертификация SIEM по требованиям ФСТЭК.
  28. Будет ли как-то описана/формализована процедура оценки соответствия средств защиты КИИ, отличная от сертификации (испытания и приемка), чтобы не иметь возможных претензий со стороны проверяющих?
    • Все описано в ФЗ-184 о техническом регулировании и в соответствующих ГОСТах. Не надо бояться проверяющих - если они требуют не того, пишите/звоните в ФСТЭК.
  29. В последних сертификатах ФСТЭК отсутствует указание на соответствие требованиям по НДВ. Тем не менее приказ 17 требует применения средств прошедших сертификацию на отсутствие НДВ для 1 и 2 классов. Каким образом владелец ИС в настоящее время может определить, проходило ли СЗИ такие испытания или нет?
    • В новых РД ФСТЭК к средствам защиты уже прописано соответствие соответствующих классов защиты средств защиты и требований по НДВ. Если что-то непонятно, пишите вопросы в ФСТЭК - вам разъяснят про соответствие и выполнение требований по НДВ в конкретном продукте.
  30. В п.16.3 31-го приказа говорится о периодическом информировании и обучении персонала. Как подтвердить выполнение указанного пункта? Наличием плана обучения?
    • Главное, чтобы люди были обучены, а как подтвердить это - вопрос десятый. Можно и планом обучения.
  31. Модель угроз должна разрабатываться для значимых объектов КИИ согласно приказам ФСТЭК. Значимый объект определяется по результатам категорирования, которое в свою очередь требует наличия модели угроз. Что первично?
    • Как и в случае с ПДн (ФЗ-152 и 21-й приказ) не надо путать перечень актуальных угроз и модель угроз. На этапе категорирования нужен только перечень актуальных угроз, а вот модель угроз как отдельный документ нужна уже на этапе реализации требований приказа ФСТЭК по КИИ.

Вот, пожалуй, и все ответы. Благодаря Валерию Комарову, есть видео этих ответов для тех, кто хочет услышать прямую речь регулятора, а не мой пересказ. Видео выложено на Google.Drive (https://drive.google.com/file/d/1vJpVjxQXG_emYaVtq9PksdlKs4Jlg03w/view?usp=sharing), размер файла для скачивания - 3,5 Гб.

Если у вас остались вопросы по КИИ (в рамках компетенций ФСТЭК), то вы можете писать свои вопросы на адрес email: otd22@fstec.ru с указанием в поле Subject "Вопрос по КИИ".

Обзор особенностей обеспечения безопасности КИИ за пределами РФ (презентация)

Вчера в Москве прошла конференция ФСТЭК "Актуальные вопросы защиты информации", посвященная нескольким ключевым темам, в частности:

  • критическая информационная инфраструктура и ФЗ-187 с подзаконными актами
  • изменение правил сертификации по требованиям безопасности.
Мне довелось выступать с обзором некоторых особенностей обеспечения безопасности КИИ за пределами РФ и провести параллели с тем, как этот процесс реализуется у нас. На все было выделено 20 минут, так что удалось пройтись только по верхам.






14.02.2018

Какая финансовая организация является субъектом КИИ? #ibbank

8-го февраля Правительство утвердило Постановление №127 об утверждении показателей категорирования объектов критической информационной инфраструктуры. Учитывая, что в эти дни под Магнитогорском проходит 10-й юбилейный форум по информационной безопасности организаций финансовой сферы, и в пятницу будет заседание, посвященное как раз обсуждению финансовой организации как субъекта КИИ, я решил пробежаться глазами по установленным критериям и понять, кто из финансовых структур попадет под раздачу. Тут надо сразу оговориться, что субъектами КИИ являются все финансовые организации, а вот значимыми объектами КИИ обладать будут далеко не все из них. Принятое ПП-127 касается как раз вопроса о том, какие объекты КИИ будут признаны значимыми.

Итак, из 5 критериев значимости к финансовым организациям относится только 3-й, "Экономическая значимость". Ни социальной, ни политической, ни экологической значимости, ни тем более значимости для обороноспособности страны, финансовые организации не имеют. Остается только экономическая значимость, в рамках которой выделяется всего 3 показателя:
  1. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности)
  2. Возникновение ущерба бюджетам Российской Федерации, оцениваемого:
    • в снижении доходов федерального бюджета (процентов прогнозируемого годового дохода бюджета);
    • в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета);
    • в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета)
  3. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений).
Кто попадает под первый критерий? Финансовых организаций, которые являются ГУПом, МУПом, госкорпорацией или госкомпанией у нас нет. А вот финансовыми структурами с участием государства у нас являются:
  • Банк России
  • Сбербанк
  • Внешэкономбанк
  • Национальный Клиринговый Центр 
  • ВТБ
  • Россельхозбанк
  • Газпромбанк
  • Глобэкс (как дочка ВЭБ)
  • Связь-Банк (как дочка ВЭБ)
  • МСП Банк (как дочка Федеральной корпорация по развитию малого и среднего предпринимательства)
  • Российский капитал (как дочка АИЖК)
  • ВБРР
  • Почта Банк (как дочка ВТБ и Почты России)
  • РНКБ (как дочка Росимущества)
  • Еврофинанс Моснарбанк (как дочка ГПБ и ВТБ)
  • Крайинвестбанк
  • Дальневосточный Банк
  • Акибанк
  • Алмазэргиэнбанк
  • Московское Ипотечное Агентство
  • Росэксимбанк
  • БМ-Банк
  • Русь
  • Хакасский Муниципальный Банк
  • Банк Казани
  • Почтобанк (не путать с Почта Банк)
  • Новикомбанк
  • НСПК.
Предположу, что Бинбанк, Открытие, Рост Банк, Уралприватбанк и Промсвязьбанк тоже можно отнести в этот список, так как ЦБ в рамках санации стал их основным инвестором.

Список стратегических предприятий и стратегических акционерных обществ утвержден Указом Президента от 4 августа 2004-го года №1009 - в нем более 1000 пунктов, большая часть из которых уже удалена. Из финансовых структур там только ВТБ. Но бояться упомянутым организациям не стоит, так как порог входа в список значимых начинается с 5% ущерба от уровня дохода, а это огромная цифра.

 Со вторым показателем, с ущербом субъектам РФ, тоже, на мой взгляд, все просто. Даже те доли процента, что указаны в Постановления Правительства, как мне кажется, достаточно велики, чтобы кто-то из банков мог претендовать на попадание в список владельцев значимых объектов.

Остается последний критерий, Системно значимыми кредитными организациями у нас являются, согласно Указанию Банка России от 22.07.2015 3737-У, следующие 11 организаций:
  • АО ЮниКредит Банк
  • Банк ГПБ
  • Банк ВТБ
  • АО «АЛЬФА-БАНК»
  • ПАО Сбербанк
  • ПАО «Московский Кредитный Банк»
  • ПАО Банк «ФК Открытие»
  • ПАО РОСБАНК
  • ПАО «Промсвязьбанк»
  • АО «Райффайзенбанк»
  • АО «Россельхозбанк».

Системно значимых инфраструктурных организаций финансового рынка у нас всего 4:
  • Центральный депозитарий
  • Расчетный депозитарий
  • Репозитарий
  • Центральный контрагент.
Наконец, к операторам услуг платежной инфраструктуры системно и (или) социально значимых (но не национально значимых) платежных систем у нас относятся (по состояния на 9-е февраля) следующие организации:
  • Русславбанк и ВТБ (для CONTACT)
  • НСПК, Банк России (для Visa)
  • Платежный центр, Золотая корона (для Золотой короны)
  • Национальный расчетный депозитарий (для НРД)
  • Лидер (для ПС Лидер)
  • НСПК, Банк России (для MasterCard)
  • ВТБ (для ПС ВТБ)
  • Сбербанк (для ПС Сбербанка)
  • Рапида, ВТБ (для Рапиды).
Вот тут заранее сложно сказать, кто из данного перечня попадет под критерий в виде 3 миллионов операций в день, которые могут быть прекращены или нарушено их проведение.

Вот такой список финансовых организаций, как потенциальных владельцев значимых объектов КИИ, получается. Всем успехов в успешном категорировании. Кстати, из финального текста, уж не знаю по каким причинам, но исчезла очень важная деталь. В проекте подразумевалось, что субъект КИИ должен составить перечень объектов КИИ и направить его отраслевому регулятору в течении 6 месяцев с момента принятия соответствуюшего Постановления Правительства о категорировании. Потом на само категрирование выделялся год. То есть получалось, что итоговое категорирование у вас должно было завершиться максимум через 1,5 года с момента выхода ПП по категорированию. Все было логично. Так вот в принятом документе исчезла приписка про 6 месяцев. Теперь субъект КИИ должен согласовать с отраслевым регулятором перечень объектов КИИ, но не говорится, в течении какого срока? А срок категорирования (максимум один год) отсчитывается от согласования перечня. Но если нет финального срока на согласование, то и срок категорирования у нас может быть растянут до бесконечности с постоянной отмазкой "мы все еще составляем перечень объектов КИИ". Вот такой парадокс и кто это придумал - непонятно :-(

09.02.2018

Proofpoint покупает Wombat, а Solar Security возможно будет поглощен Ростелекомом

6 февраля американская Proofpoint объявила о подписании соглашения о намерении купить Wombat Security, лидер гартнеровского квадрата по компьютерным технологиям повышения осведомленности. Фишинговые симуляторы Wombat теперь будут использоваться клиентами Proofpoint для тестирования своих возможностей по отражению самых распространенных атак. Размер сделки составляет 225 миллионов долларов США.

Днем позже РБК опубликовала заметку о намерении Ростелекома приобрести Solar Security, российского разработчика средств защиты и поставщика услуг мониторинга ИБ. Но каких-либо деталей этой сделки неизвестно, да и сам факт официально обе стороны не подтверждают. В этом отличие российского рынка инвестиций от американского (помимо числа сделок и кучи других отличий) - на Западе достоянием гласности становятся обычно три факта - подписание соглашения о намерении поглотить кого-нибудь, соглашение о поглощении кого-нибудь и факт финального закрытия сделки. То есть речь идет о юридически значимых фактах, подтвержденных документами. А в случае с Ростелекомом и Solar Security, похоже, никаких документов официально не подписано. Подождем развязки истории и тогда уже можно будет ее прокомментировать. А то получится как в случае "слияния" Информзащиты и ОКБ САПР в 2009-м году...

07.02.2018

Дашборды по ИБ для руководства: КАК отобразить

Как и отчеты дашборды бывают трех типов - стратегические (для топ-менеджеров), аналитические (для руководителей среднего звена) и оперативные  (для исполнителей). Учитывая, что большинство отчетов (да и дашбордов) готовится именно исполнителями и ни они не задаются нужными вопросами (КТО моя целевая аудитория, ЧТО они должны решить и КАКАЯ информация им для этого нужна), ни им не дают ответы на эти вопросы, то большинство отчетов/дашбордов превращаются в простыни цифр, которые никто не читает (распечатки логов IDS, МСЭ, список непропатченных ПК, список критичных уязвимостей и т.п.). Чтобы сделать ваш продукт (а дашборд или отчет - это продукт, который вы продаете руководству) надо усвоить несколько важных моментов:

  • виды анализа
  • используемые виды диаграмм
  • макет дашборда
  • прототип дашборда.

Давайте в качестве примера возьмем задачу отображения деятельности SOC для CISO, которому нужно понять, насколько эффективно задействованы сотрудники SOC, все ли инциденты отрабатываются в срок, какие инциденты больше всего отнимают ресурсов и т.п. Вот у нас уже есть перечень вопросов, для которых нам нужны следующие количественные измерения - количество инцидентов разных типов и трудозатраты сотрудников SOC на разбирательство с ними. По каждому инциденту достаточно собрать следующие данные - сотрудник SOC, источник инцидента, статус инцидента (разрешен/просрочен), дата. На основе полученных данных мы можем получить 4 блока аналитики:

  • количество запросов и трудозатрат по сотрудникам SOC
  • трудозатраты по типам инцидентам
  • динамика инцидентов в течение года (кстати, на этом показателе становится понятной разница между средним арифметическим и медианой)
  • количество инцидентов по источникам.
Попытка вынести эти 4 блока на один дашборд обычно с первого раза не получается. Точнее получается фигня - все блоки равнозначны и непонятно, куда смотреть и какой вывод может быть сделан на основе полученной информации. Пробуем перегруппировать, опираясь на три типа отчетов/дашбордов, упомянутые в самом начале. Стратегические показатели (число инцидентов, число просроченных инцидентов в %, трудозатраты в часах, число аналитиков SOC) выносим наверх, а аналитические (оперативные в дашборде будут лишними) разместим ниже. Именно там покажем динамику инцидентов, количество инцидентов по типам и источникам, трудозатраты по аналитикам SOC.

Определившись с тем, ЧТО показываем в дашборде, надо решить, КАК мы это показываем. Несмотря на то, что современные BI-решения и даже Excel содержат десятки разных типов диаграмм, в реальности вам понадобится всего 5 - линейчатая диаграмма, график, гистограмма, точечная/пузырьковая диаграмма и круговая/кольцевая диаграмма.


Иногда еще могут понадобиться всякие радарные диаграммы или светофоры, но это гораздо реже предыдущих пяти. Эти диаграммы помогут вам отобразить 4 базовых вида аналитики:
  • Рейтинг. Это самый распространенный вариант анализа, который позоляет сравнивать данные по принципу больше/меньше. Число незакрытых или просроченных инцидентов, число непропатченных ПК, размер ущерба, число IoC, обработанные заявки на доступ и т.п. Демонстрировать данный анализ позволяют линейчатые диаграммы и гистограммы.
  • Динамика. Это вид анализа, который обычно демонстрируется графиком или гистограммой, показывает тренд, сезонность, изменение во времени суток и т.п. 
  • Структура. Этот вид анализа показывает часть, долю целого. Например, распределение затрат на ИБ, распределение инцидентов по типам или источникам, соотношение закрытых и просроченных инцидентов и т.п. Единственным способом отобразить данный вид анализа позволяет круговая диаграмма.
  • Взаимосвязи. Это гораздо более редкий, но все-таки важный вид анализа, который помогает показать наличие или отсутствие (а иногда и характер) взаимосвязей между несколькими показателями. 
При выборе диаграмм главное не переборщить. По себе знаю - часто хочется не показать важную информацию, а показать ее красиво и продемонстрировать не только умение пользоваться разными тулами, но и потраченную на разные плагины и коллекции иконок кучу денег :-) В итоге вместо концентрации на том, ЧТО показывать силы уходят на то, КАК это показывать, что неправильно. Я на первых порах всегда начинал с вопроса "какой тип диаграммы использовать" или "где разместить эти данные - на оси абсцисс или ординат" вместо "число инцидентов типов А, Б и В за отчетный период составило ххх, yyy и zzz и для этого мне нужно использовать гистограмму".
Отсюда же, кстати, вытекает и рекомендация не увлекаться инфографикой. Я сталкивался с парочкой фирм, в которых цифры и аналитика уходят на второй план, а их подменяют красивые иконки, на рисование которых тратятся усилия целых отделов. Помочь принять решение это не помогает, а ресурсов требует немалых. Если, конечно, у вас денег куры не клюют, то можно и поиграться в эти игры, но в обычной жизни для 99% компаний все это баловство.


Завтра поговорим про макет и прототип дашборда. И попробую отобразить уже реальные картинки, которые все так хотят увидеть :-)

06.02.2018

Дашборды по ИБ для руководства: КТО, ЧТО и КАКОЕ

Достаточно часто сталкиваюсь с вопросом, который звучит "Как должен выглядеть отчет/дашбоард по ИБ для руководства?" Это немного другая сторона медали, связанной с выходом ИБ на уровень бизнеса, о которой я достаточно часто говорю в последние годы (хотя и не так часто как хотелось бы). Многие вопрошающие считают, что существует некий магический пример отчета или дашборда (разница между этими понятиями не столь большая), который можно скопировать и наступит счастье в общении с руководством, которое сразу должно понять, что безопасность не зря ест свой хлеб и не зря на нее тратят десятки и сотни миллионов рублей. Нередко заданный в начале вопрос сопровождается дополнением - "У нас уже есть SIEM/SOC и нам осталось только правильно расположить виджеты, чтобы получить нужный результат. У вас же в Cisco это сделано. Покажите как?"

Вот об этой проблеме мы сегодня поговорим, но как это часто бывает - никакой серебряной пули не существует и никакого магического отчета нет. Все ситуации уникальны, а потому уникальны будут и дашборды/отчеты, которые могут показать эффективность (или неэффективность) работы службы ИБ или отдельных ее подразделений. Но это не значит, что нет общих рецептов, которым надо следовать, чтобы добиться нужного результата. Для начала стоит понять, в чем корень проблем с визуализацией бизнес-представления ИБ? В разном восприятии. Человек, готовящий отчет (предположим, что он понимает, чем он занимается), слишком погружен в детали. Он считает все данные в отчете или на дашборде важными. Еще бы - он ведь их сам собирал по крупицам и поэтому не может отказаться от чего-то, на что он, возможно, потратил не одну неделю. Руководителю (и не важно какого уровня), в отличие от аналитика, нужны не детали, а общая картина, наглядность. Аналитика волнуют ответы на вопросы классической игры "Что? Где? Когда?", а руководителю нужны ответы на вопросы "Что будет? Что делать?" Отсюда и все проблемы, для устранения которых надо ответить на ряд простых на первый взгляд вопросов, а точнее просто произвести декомпозицию исходной задачи.


Первое с чего стоит начать, с ответа на вопрос "КТО?", который разбивается на две составные части - кто вы и кто ваша целевая аудитория? Первая часть не столь актуальна в небольших организациях, в которых вся ИБ - это 2-5 человек без жесткой иерархии подчинения. В такой ситуации совсем не важно, кто вы; главное, что вы занимаетесь ИБ и вам поручили подготовить отчет или сделать дашборд для руководства. В крупных организациях, в которых служба ИБ насчитывает сотни или даже тысячи человек эта часть вопросам становится уже гораздо важнее. Врядли руководитель отдела СКЗИ или антифрода сможет адекватно подготовить дашборд по деятельности всей службы ИБ - у него своей фронт работ, по которому он и может говорить предметно. Поэтому если вам поручили задачу сделать отчет/дашборд "обо всем" лучше сразу расставить все точки над i. В противном случае вы точно окажетесь виноватым.


Вот вторая часть вопроса "КТО" гораздо важнее. Кто ваш заказчик? Кто будет смотреть на ваш отчет или дашборд? CISO? CSO? CEO? COO? CFO? Иной CxO? С CISO ситуация не так просто как кажется на первый взгляд. Это в небольших организациях руководитель ИБ обычно в курсе всего, что творится у его подчиненных. В крупных, уровня Газпрома или РЖД или Сбербанка, сложно ожидать, что CISO знает все, что находится на 2-3-4 уровня иерархии ниже. Это физически невозможно. Поэтому, получая задачу подготовки дашборда или отчета от своего руководителя ИБ все-таки уточните задачу и получите как можно больше деталей. Мне доводилось слышать такую постановку задачу "Сделайте мне красиво, понятно и чтобы я мог перед предправления отчитаться". Или вот такую: "Вы сами должны знать, что мне надо, я же не зря вам плачу зарплату". Увы, в последних двух случаях вероятность сделать что-то устраивающее вашего "рукамиводителя" невысока. При столь нечеткой постановке задачи это равносильно "пойди туда, не знаю куда, принеси то, не знаю что".

Второй важнейший вопрос - ЧТО. Что нужно вашей целевой аудитории? Какие ключевые показатели ей необходимо показать? Ответ на этот вопрос зависит от ответов на предыдущий вопрос. Понятно, что финансовому директору не интересно число уязвимостей в Web-сайте компании (да и никому не интересно). И среднее время реагирования на инциденты (кстати, среднее арифметическое или медианное?) тоже неинтересно. И эффективность источников Threat Intelligence тоже. Все это внутренняя кухня ИБ, которая в лучшем случае интересна CISO.

Для ответа на вопрос ЧТО, вы должны ответить на третий вопрос - КАКОЕ решение должна принять ваша целевая аудитория? Запустить проект по повышению осведомленности сотрудников? Увеличить инвестиции в проект по приведению себя в соответствие с PCI DSS или 382-П? Инвестировать в защиту Web-сайта от прикладных атак? Обратиться к аутсорсингу ИБ вместо содержания собственной службы ИБ? Увы. Все эти решения не имеют никакого отношения к бизнесу. Это в лучшем случае уровень CISO. Бизнес волнуют совершенно иные вещи и вопросы. Какой канал лучше позволяет привлекать клиентов? Какие регионы/города России наиболее перспективны для географической экспансии? Как снизить издержки и повысить доходность? Как поднять лояльность сотрудников/клиентов/партнеров? Как снизить регулятивные риски? Могут ли ваши дашборды/отчеты помочь ответить на эти вопросы? Скорее всего нет. Но это не значит, что вам не надо общаться с бизнесом и пытаться понять его чаяния. Именно о том, что нужно бизнесу в контексте ИБ и как ИБ влиться в общие бизнес-процессы, будет посвящено два мастер-класса на Магнитогорском форуме по банковской ИБ, которые буду вести я и Дмитрий Мананников уже в следующий вторник. Это важнейшая часть работы ИБ (общение с бизнесом), но выходящая за рамки сегодняшней заметки. В любом случае, независимо от уровня вашей целевой аудитории (CEO или CISO) вы должны понимать, какое решение она должна принять. Отсюда вы поймете, что ей нужно для принятия решения и какие данные вам помогут облегчить принятие решения.

Например, перед вашим CISO стоит задача - искать ли новые источники Threat Intelligence или оставить используемые сейчас? Чтобы принять решение ему нужно ответить на ряд вопросов:
  • Какое соотношение получаемых извне IoC с теми, которые применялись в компании за отчетный период? Ответ на этот вопрос помогает понять, насколько вообще внешние источники помогают вашей организации в обнаружении атак и инцидентов?
  • Какие источники TI наиболее релевантны для организации? Это предыдущий показатель применительно к каждому внешнему источнику.
  • Число индикаторов, полученных от внешнего источника TI с учетом их полезности для организации (полезно при принятии финансовых решений о продлении контракта на TI). 
  • Соотношение количества угроз, пришедших по каналам TI, и не обнаруженных за счет внутренних возможностей (фишинговые сайты, украденные логины/пароли, сайты-клоны и т.п.).
  • Какое количество получаемых извне IoC применялось в компании? Может оказаться вообще, что индикаторы компрометации вы получаете, но не используете, потому что руки не доходят или не знаете, как автоматизировать процесс интеграции внешних источников с вашими средствами защиты/анализа.
Кстати, при оценке деятельности подразделения Threat Intelligence с точки зрения руководителя ИБ, было бы неплохо задать следующие вопросы:
  • Сколько IoC, сформированных службой TI, помогло отразить инциденты в организации (например, на МСЭ, IPS, рутерах и т.п.)?
  • Сколько playbook было создано/обновлено и использовано группой по реагированию на инциденты на основе IoC, сформированных службой TI? 
  • Распределение полученных IoC по типам и соотношение их с типами угроз внутри организации.
  • Динамика снижения числа ложных срабатываний средств защиты после обогащения сигналов тревоги данными от службы TI.
  • Снижение времени (ускорение) на расследование инцидента и реагирование на него за счет обогащения данных об инцидентах данными от службы TI.
  • Соотношение количества обнаруженных угроз средствами защиты организации с данными от службы TI и без них (например, голый IDS в сравнении с IDS + TI или IDS + TI + SIEM).
  • Количество самостоятельно обнаруженных и отреверсенных вредоносов по сравнению с традиционными антивирусными программами (если это функция TI).
  • Количество подготовленных бюллетеней по акторам/угрозам/кампаниям, которые имели отношение к предприятию; особенно тех бюллетеней, которые описывают угрозы, направленные именно на само предприятие, а не веерные угрозы.
  • Количество подготовленных бюллетеней, направленных в ФинЦЕРТ/ГосСОПКУ/иным внешним лицам (если стоит задача awareness и обучения отрасли/индустрии).
  • Участие в стандартизации вопросов обмена информацией об угрозах (если такая тема актуальна для организации).
Ответив на эти три вопроса - КТО ваша целевая аудитория, ЧТО им нужно и КАКОЕ решение они должны принять - вы решите, нет, не 50%, а 80% задачи по созданию правильного дашборда/отчета по ИБ. Про остальные 20% мы поговорим уже завтра.

Кстати, по поводу отличий между дашбордами и отчетами. Дашборд - это регулярно обновляемое визуальное представление наиболее важной информации, сгруппированной на одном экране по смыслу так, чтобы ее можно было легко понимать и принимать на ее основе правильные решения. Я выделил ключевые элементы, присущие именно дашборду:
  • регулярное обновление (поэтому так важна автоматизация)
  • группировка ключевых показателей, позволяющая фокусироваться на нужных данных
  • не единократное действие (принять), а встраивание в процесс (принимать)
  • не визуализация сама по себе, а помощь в принятии решения.
Отсюда, собственно, и видна разница. Дашборд - это почти всегда отчет, но не каждый отчет - это дашборд. Для превращения отчета в дашборд необходимо приложить немало усилий, отвечая на три вопроса, которые описаны в данной заметке. 

ЗЫ. Когда писал заметку, думал нашпиговать ее красивыми примерами дашбордов, но уже в процесс написания отказался от этой идеи. Правильные примеры явяются таковыми только в конкретной ситуации, в конкретной организации, после ответа на поставленные вопросы. Они могут не копироваться в других компаниях при других условиях ункционирования службы ИБ. Да и, положа руку на сердце, таких примеров-то и немного. А вот дурацких примеров в Интернете полно - достаточно ввести в Гугле поиск картинка по ключевым словам report|dashboard security|cybersecurity и вы получили красивые, но абсолютно бесполезные в реальной жизни диаграммы, графики, светофоры, индикаторы и т.п.