30.4.08

Число ИБ-стартапов растет

Совсем недавно я писал о том, что российский рынок ИБ находится еще в стадии становления и на нем практически отсутствуют примеры не только слияний и поглощений, но и появления новых компаний - стартапов. Но вот краткий анализ показал, что ситуация сдвинулась с мертвой точки. За последний год в России появилось сразу несколько компаний-новичков. Основной акцент в их деятельности сделан на консалтинг и другие сервисы в области ИБ. Итак, какие игроки у нас появились:
1. Бюро профессиональных услуг 4x4
2. Центр "Аудит Информационной Безопасности"
3. Периметрикс (данный пример немного выбивается из списка из-за природы своего создания).
4. Online Solutions (разработка ПО в области защиты информации)
5. Система Менеджмент (сайта не нашел, но упоминания о поиске вакансий в Интернет есть).
6. Было еще 2 консалтинговые фирмы, имена которых я не помню, а двухчасовой поиск в Интернете по различным ключевым словам ничего не дал (а доменов в Рунете с фрагментом secur, как оказалось, несколько сотен).

Готовя эту заметку, наткнулся на такое количество небольших фирм и фирмочек, предлагающих услуги в области информационной безопасности, имена которых я увидел впервые, хотя в этой сфере кручусь достаточно давно. Если же посчитать еще и региональные компании, то число стартапов перевалило за полтора десятка.

Кто-то появляется и еще даже не имеет телефона и офиса (например, Центр "Аудит информационной безопасности"). Кто-то с трудом сводит концы с концами и вынужден помимо консалтинга заниматься дистрибуцией. А кто-то с рынка уходит. Например, уже упомянутая компания "Система Менеджмент", по которой я не нашел никаких контактов или деталей, или "Немесис", сайт которой перестал отвечать относительно недавно. Рынок развивается...

26.4.08

Почему не срабатывают модели разграничения доступа

"В «доисторические» времена, когда персональных компьютеров еще не существовало и даже мейнфреймы были в новинку, контроль доступа, таким, как мы его знаем сегодня, не существовал. Доступ к компьютеру имели единицы проверенных людей в соответствующих ведомствах или исследовательских институтах и ВУЗах. Все знали и доверяли друг другу, и острой необходимости в разграничении доступа не было. Потом пользователей стало больше; надо было считать машинное время, выделяемое каждому из них. И именно в этом момент появился контроль доступа (access control)".

Вот именно так я начал статью для журнала "ИТ Спец". Честно говоря, темой моделей разграничения доступа я не занимался с института. Но тут решил вновь к ней вернуться. Если посмотреть на модели, которые сейчас так или иначе активно используются, то мы увидим, что это либо избирательное управление доступом, либо мандатное. Пресловутая модель Белла-Лападула (братья это или просто коллеги?) стала родоначальнией для многих последующих моделей полномочного доступа. Но многие ли ее используют (если не брать наши СЗИ от НСД и их обязательность применения в некоторых организациях)?

И DAC, и MAC появились тогда, когда о сетях еще никто не задумывался и защиты требовали только автономные конфигурации компьютеров. Но со временем ситуация поменялась и стали проявляться совершенно иные проблемы. Например, как определить права доступа для удаленного субъекта? Или как защититься от скрытых каналов? Мы совершенно забываем про то, что данные модели разрабатывались для обеспечения конфиденциальности. Зачастую в ущерб целостности и доступности. А ведь существуют еще и множество других моделей с другими приоритетами в области защиты. Например, модель Миллена (контроль доступности), Биба (контроль целостности), Кларка-Вилсона (контроль целостности), невыводимости, невмешательства и т.п. И почти нет моделей, которые бы объединяли в себе механизмы обеспечения сразу нескольких свойств защиты информации и информационной системы.

Надо признать, что несмотря на почти сорокалетнюю историю разработки моделей безопасности, сегодня широко используется только две из них – избирательное и полномочное разграничение доступа, ориентированные на предотвращение утечки информации, т.к. нарушение ее конфиденциальности (кстати, если вспомнить "приказ трех" о классификации информационных систем персональных данных, то там мы тоже увидим излишнюю концентрацию на конфиденциальности). Но даже эти модели в своей практической реализации наталкиваются на серьезное препятствие – сложность администрирования и эксплуатации, которые нельзя сделать один раз и забыть. Ситуация меняется постоянно – появляются и исчезают новые файлы и пользователи, а значит постоянного изменения требуют и атрибуты субъектов и объектов доступа. Без наличия достаточного количества персонала (хотя этот показатель конечен по сути своей) или средств автоматизированного контроля прав доступа, внедрение любых моделей безопасности обречено на неудачу.

25.4.08

О безопасности на уровне процессора

Мы часто и много слышим про безопасность персональных компьютеров, серверов и других оконечных устройств. Антивирусы, защита от утечек, HIPS, шифрование файлов… Все это составляющие защиты современного ПК/сервера. В ряде случае она расширяется за счет возможностей, встроенных в операционную систему. Но… есть одна тема, которая обычно не поднимается или очень мало описана в СМИ. Речь идет о безопасности на уровне материнской платы (motherboard) и дополнительных чипов, которые могут быть интегрированы в эти платы. Поэтому я и написал для журнала "ИТ Спец" статью "Материнская безопасность", посвященную этой теме.

Помимо краткого рассмотрения технологий безопасности, встроенных в решения Intel, AMD и Эльбрус, я также включил в статью достаточно интересный раздел про закладки в процессорах. Вот абзац из него:

"Считается, что сама по себе операционная система (будь то Windows или Linux) является недоверенной средой и требует дополнительного уровня охраны со стороны навесных систем защиты от несанкционированного доступа. Такая идеология следует со стороны отечественных регуляторов в области информационной безопасности, которые предписывают в критичных областях, а также в государственных органах власти, использовать сертифицированные (т.е. прошедшие специальную экспертизу) программные решения; обычно отечественных производителей (Информзащита, ОКБ САПР и т.д.). Надо заметить, что западные регуляторы следуют тому же подходу. Если посмотреть на «Радужную серию», «Общие критерии» (ISO 15408) и другие документы, то все защитные требования, предъявляемые к компьютерным системам, касаются только программного обеспечения. Все эти документы исходят из предпосылки, что аппаратная платформа – процессор, микросхемы, материнская плата, контроллеры и т.п., «безгрешны». Но кто это сказал? Почему все так уверены, что аппаратная платформа, на которой работает и якобы недоверенная ОС, и приложения, и системы защиты, обладает защитой? Пойду дальше, и буду утверждать, что современная материнская плата и компоненты, ее составляющие, достаточно интеллектуальны, чтобы содержать закладки (недекларированные возможности в терминологии российских регуляторов) и нести угрозу всему, что к ним обращается. И это не пустые слова.


В 1995 году на симпозиуме IEEE прозвучал доклад трех американских исследователей (Олин Сайберт, Филлип Поррас и Роберт Линделл) «An Analysis of the Intel 80x86 Security Architecture and Implementations», в котором были сделаны очень интересные выводы. Они нашли в процессорах Intel 80x86 и Pentium множество недокументированных каналов и узлов, скрытые каналы, а также необъяснимые изъяны и дефекты в механизмах защиты. Все эти проблемы «помогают» обойти вышележащие программные системы защиты, к какому бы высокому уровню безопасности они не относились. Все бы «ничего», если бы эти дефекты, число которых в некоторых версиях процессоров достигало нескольких десятков, не наследовались от семейства к семейству. Началось все еще в Intel 8086, затем перешло в Intel 80286, 80386, 80486 и даже в Intel Pentium. Исследователи нашли их даже в Intel’овских клонах, произведенных AMD, Cyrix и другими компаниями...".

Исследуя эту тему, оказалось, что она очень и очень интересна. Ведь мы действительно провожим явную черту между ПО и материнской платой. Всю безопасность мы возлагаем только на первый элемент, напрочь забывая про второй. Ситуация постепенно сдвигается с мертвой точки и некоторые ОС уже оснащающатся такой интеграцией с защитными функциями процессоров, но пока это не стало best practices и уж тем более мало кто из производителей программных систем защиты (и отечественных и западных) обращает на эту тему пристальное внимание. Хотя, малость порекламировав своего работодателя, могу сказать, что тот же Cisco Security Agent может использовать функции Intel vPro для контроля загрузки с посторонних носителей.

ЗЫ. Номер с этой статьей пока не вышел, но это должно скоро произойти. А через 2-3 месяца после выпуска журнала на сайте ИТ Спец появится и электронная версия материала.

23.4.08

Infosecurity Europe 2008 - первые впечатления

Длительный перелет "Сайгон - Москва - Лондон" завершился и вот я прибыл в столицу Объединенного Королевства с целью посещения выставки InfoSecurity Europe 2008. Позволю себе тезисно пробежаться по выставке и представить свои первые впечатления:

1. Посетив последние 4 выставки InfoSecurity как в Лондоне, так и в Москве, могу с уверенностью утверждать, что первая является более организованной, более зрелой и более представительной выставкой, чем московская. Это выражается во всем - в предварительной регистрации, в рассылке каталога и бейджа всем зарегистрировавшимся участникам, в регистрации на месте, в питании и т.п. Видно, что организаторы лондонского мероприятия не экономят на мелочах и делают из него действительно СОБЫТИЕ в мире ИБ в Европе.

2. В Лондоне, в отличие от Москвы, представлено большое количество стартапов в области ИБ. Отчасти это понятно - там стартапов гораздо больше (у нас их почти нет). Область деятельности таких начинающих компаний - сервисы во всем их многообразии (консалтинг, обучение, security awareness) и UTM-устройства. Складывается даже впечатление, что любой желающий может взять IBM'овский или HP'шный сервер и залив на него софт от разных вендоров, создать решение "все в одном".

3. Много внимания уделяется инновационным технологиям - Web 2.0, социальные сети, виртуализация, мобильные устройства, безопасное программирование, SaaS и т.д. На российском аналоге про это почти ни слова. Но есть и похожие темы. Тот же Compliance и мобильный доступ.

4. Не были почему-то представлены Symantec и Trend Micro. Хотя их можно понять - оценить отдачу от выставки непросто и бездумно тратить деньги никто не хочет. Зато отжигала McAfee, которая не только всем раздавала носки со своей символикой, но и развернула на территории выставки сразу три стенда - авось, где-нибудь на них да наткнешься. Из новичков могу отметить Google, представившая свое недавнее приобретение Postini, и Ricoh, которая представляла свои печатающие устройства, реализующие полный цикл защиты информации, начинаяя с ее сканирования и заканчивая печатью (два-три года назад аналогичное решение на InfoSecurity представляла компания Sharp).

5. Из российских компаний увидел всего двоих (правда, с полностью иностранными сотрудниками) - "Лаборатория Касперского" и DeviceLock.

6. Приятно удивило количество стендов, которые освещали такую тему, как карьера в области ИБ. Не просто обучение, а именно карьера. ISC2 представлял не только свою систему сертификацию (у них, кстати, еще две новых появилось), но и рассказывал, куда податься специалисту по ИБ и на какую зарплату можно рассчитывать. Аналогично действовала и ISACA, которая помимо продвижения COBIT, двигала и свою систему сертификации (CISM, CISA и CGEIT). Впервые был представлен Институт профессионалов информационной безопасности (IISP), который предлагает не столько сертификацию, сколько обучение специалистов по ИБ, готовящихся к высоким должностям.

7. Согласно известному маркетинговому закону "Если не можешь лидировать в какой-нибудь нише, то создай нишу для себя и будь в ней лидером" на InfoSecurity было немало небольших компаний, которые, не имя возможности конкурировать с грандами ИБ, "создавали" новые сегменты информационной безопасности. Например, Least Privilege Management. Чем этот сегмент отличается от Identity & Access Management не совсем понятно, но звучит красиво ;-)

8. Среди представленных на выставке решений основной акцент делался на compliance, безопасность сети и Интернет, безопасность приложений, а также сканирование и тесты на проникновение. Неплохо была представлена область расследований инцидентов и преступлений (в России этот сегмент совсем не представлен), MSS, разработка политик безопасности, безопасность мобильных и беспроводных технологий. Среди других решений можно также назвать:
- антиспам, антивирус и контентная фильтрация (DLP в отдельный сегмент никто не выделял)
- защита почты и IM
- биометрия
- обеспечение непрерывности бизнеса
- криптография
- МСЭ
- IAM
- IPS
- управление патчами (в России не представлены)
- удаленный доступ
- токены безопасности (вынесены в отдельный от IAM сегмент) и смарткарты
- обучение, набор персонала, awareness
- защита Web-сервисов
- SSO (также вынесен в отдельную от IAM категорию)
- безопасность storage
- UTM
- безопасность VoIP
- VPN.

9. И последнее. О России. Взял у ISC2 книжку "2008 Resource Guide for Today's Information Security Professional", в которой собраны все лучшие ресурсы по ИБ в мире. Больше всего, конечно, представлены США. Что же говорит каталог о России? Согласно нему у нас есть только один ВУЗ, который готовит специалистов по ИБ - МИФИ (про преподователей-плагиаторов умолчу). Аффилированный с ISC2 учебный центр - это Микроинформ. Из выставок упомянуты только Interop (который проходит в эти дни), Связьэкспокомм и InfoSecurity Russia. Из профессиональных изданий они называют три - Bugtraq.ru, гротековский Information Security и SecurityLab. Из российских регуляторов в области ИБ они знают только одного... ФСБ. Из профессиональных ассоциаций, действующих в России, они не знают никого - ни нашу ISACA, ни нашу RISSPA (хотя последняя была создана под эгидой ISC2).

Ну вот, пожалуй, и все впечатления по InfoSecurity Europe.

21.4.08

Ударим ЗУБРом по непрофессионализму

Напомню, что в России уже 4 года существует национальная отраслевая премия "За укрепление безопасности России" (ЗУБР) от издательства "Гротек", которая призвана наградить лучших в отрасли безопасности. Премию сложно назвать национальной, т.к. включает в себя только три категории - информационная безопасности, антикриминал-антитеррор и пожарная безопасность. Но дело даже не в этом. Согласно задумке организаторов ЗУБР в виде массивной чугунной уменьшенной копии зубра должен вручаться лидерам отдельных сегментов рынка. Но вот тут и кроется вся загвоздка.

Согласно списку номинантов этого года в категории "Информационная безопасность" мы не увидим ни одного действительно распространенного решения по защите информации. Кто из вас слышал про IDS "Аргус" от ООО "ЦСС", систему Mail SeCure от PineApp, систему анализа настроек безопасности "Декарт" от НеоБИТ? А названия производителей у вас на слуху? То то и оно. Все бы ничего, но в предыдущие года ситуация была аналогичная. Кто же победил? Вынужден признать, что в этот раз я еще меньше слышал имена победителей, исключая пожалуй трех, - банк "Возрождение" (за лучший проект по ИБ), Газинформсервис (за новинку года и лучшее интеграционное решение) и BSI (за лучшее интеграционное решение). Причем тут BSI и интеграционное решение не совсем понятно, ну да ладно. Остальные имена мне в принципе неизвестны. Вспоминается только PineApp, которая прославилась тем, что рассылала спам о своем средстве борьбы со спамом по всем зарегистрированным участникам InfoSecurity Moscow 2007.

С наградами по ИБ у нас вообще какая-то проблема. Помимо ЗУБРа есть еще награда "Признание года" от портала Sec.ru, но она ориентирована в первую очередь на физическую безопасность и не имеет четкой сегментации номинаций. Cnews также проводит свою церемонию Cnews AWARD, в которой есть раздел и по ИБ. Какие-то награды дают на форуме "Технологии безопасности". Вот, пожалуй, и все. Но действительно независимого признания рынком тех или иных продуктов, технологий или проектов в области информационной безопасности в России нет. И это печально...

18.4.08

Психология бизнеса (MUST READ)

Давно на секлабе не было статей, которые бы не просто описывали какие-то сугубо технические детали и не просто были бы полемическими или дискуссионными. Речь идет о статье Шнайера "Психология безопасности" (часть 1, часть 2). В ней автор обратился к очень нетрадиционной теме в области ИБ - восприятие рисков, разница между реальностью и ощущением безопасности. Ну о-о-о-о-чень интересный материал. Многие описываемые моменты позволяют понять, почему принимаются те или иные решения в области безопасности, почему люди готовы открывать опасные вложения, почему люди скептически относятся к некоторым рискам, почему несерьезные риски воспринимаются как очень опасные, а очень опасные как несерьезные и т.п.

Вообще хочется заметить, что ИБ сейчас находится на новом витке своего эволюционного развития. Стали появляться не просто технологические исследования по тем или иным моделям разграничения доступа, использовании теории игр в области ИБ и других технологических областях. Развиваются совершенно новые направления:
- безопасность и финансы
- безопасность и психология
- безопасность и управление людьми
- и т.д.

ЗЫ. Оригинал статьи на английском языке можно найти здесь.

13.4.08

Первые открытые межвузовские соревнования по защите информации

С 25 по 28 апреля 2008 г. Уральский государственный университет им. А.М. Горького (г. Екатеринбург) совместно с Клубом Профессионалов АСУ Урала проводит Первые межвузовские российские студенческие соревнования по защите информации по международным правилам «Capture The Flag» под названием RuCTF 2008.

Capture The Flag – игра, в которой проверяются умения участников защищать компьютерные системы. Это первые подобные соревнования в России. В игре несколько команд соревнуются друг с другом. Каждая команда получает от жюри сервер с предустановленным набором уязвимых сервисов. На момент начала игры сервера команд идентичны. Задачи участников: поддерживать свои сервисы в рабочем состоянии, предотвращая попытки вторжения и проводить «захват флагов» на серверах других команд. Главная задача команд - обнаружить уязвимости на своем сервере и попытаться закрыть их, не нарушив работоспособности сервисов. В то же время, используя знания о найденных уязвимостях, становится возможным провести «захват флагов» у других команд. За поддержание своих сервисов в рабочем состоянии и отправку полученных «флагов» на сервер жюри команда получает баллы.

С 2005 по 2007 гг. студенческим учебно-научным семинаром УрГУ по защите информации были проведены аналогичные уральские соревнования UralCTF, в которых участвовали команды УрГУ и ЧелГУ-ЮУрГУ. В 2007 году команда «Hackerdom» УрГУ участвовала в шестых международных соревнованиях по защите информации iCTF2007, проведенных университетом г. Санта-Барбара (Калифорния, США), и заняла третье место. Эти соревнования являются чемпионатом мира по защите информации по версии CTF. Первое место заняла команда «Chocolate Makers» Миланского университета (Италия), второе место - команда «Squareroots» университета Мангейма (Германия), четвертое место - команда «We_0wn_You» Венского университета (Австрия), пятое место - команда «WCSC» университета Южной Флориды (США). Всего в соревнованиях участвовало 36 команд из университетов разных стран мира (Италии, Германии, России, Австрии, США, Австралии, Франции, Индии, Аргентины и др.). Команда «SiBears» Томского государственного университета заняла десятое место (от России участвовало две команды).

Официальный сайт - www.ructf.org


10.4.08

Принят порядок классификации систем обработки персональных данных

В Консультанте появился текст "Приказа трех" "Об утверждении порядка проведения классификации информационных систем персональных данных". Это совместный приказ ФСТЭК, ФСБ и Мининформсвязи. Каковы его особенности, достоинства и недостатки:

1. Классификация осуществляется операторами персональных данных. Т.е. не за вас принимают решение об отнесении вас к какому-либо классу, а вы это делаете самостоятельно. Это очень большой плюс. Правда, класс может быть пересмотрен по результатам проверки вас со стороны регуляторов, но проводится они могут не когда угодно, а по вполне четкому расписанию.

2. Класс должен быть оформлен документально.

3. Классификация базируется на основе комбинации следующих критериев:
- категория обрабатываемых данных
- объем обрабатываемых данных
- характеристики безопасности
- структура ИС
- наличие подключений к Интернет и сетям общего пользования
- режим обработки персональных данных
- режим разграничения прав доступа
- местонахождение технических средств.
В целом критерии выбраны правильные, но... в п.15 класс рассчитывается только исходя из первых двух параметров. Возможно это сделано осознанно, т.к. по тексту приказа определяются 2 типа ИС - типовые и специальные. Первые - это те, где нужно обеспечить только конфиденциальность. Во вторых нужно обеспечить помимо конфиденциальности и еще хоть одну из характеристик персональных данных - защиту от уничтожения, изменения, блокирования и иных несанкционированных действий. Так вот класс ИС согласно п.15 определяется только для типовых систем. Но таких систем в природе практически нет. Где вы видели системы, в которых не надо обеспечить целостность и доступность?

4. Как же определить класс для специальных систем? А вот этого в приказе не сказано. Для этого случая он отсылает всех к другим методическим документам, которые разработаны ФСТЭК и ФСБ. Что разработала ФСБ неизвестно, а вот по ФСТЭК список этих документов известен:
- «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России);
- «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России);
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России);
- «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).

5. Все бы ничего, но... эти документы наделены грифом "Для служебного пользования" и доступны только... зарегистрированным операторам персональных данных и (но не или) лицензиатам ФСТЭК. Иными словами, вы не можете определить класс ИС, не получив статуса оператора персональных данных согласно 781-му Постановлению Правительства РФ и лицензии ФСТЭК, согласно 504-му Постановлению Правительства.

6. Но и другие моменты в приказе вызывают вопросы. Например, в п.6 определены категории обрабатываемых данных. Но я так и не понял, в чем коренное отличие 2-ой и 3-ей категории. Да и с категорированием опять намудрили. Идея-то была здравая - не всех под одну гребенку грести, а дифференцировать. Но... под первую категорию попадают почти все системы. Достаточно вспомнить пресловутый "пятый пункт", который по прежнему встречается во многих анкетах при приеме на работу.

7. 14-ый пункт определяет классы типовых информационных систем персональных данных, о которых я уже высказался. Но и с этими классами опять напортачили. В чем их отличие? Только в одном - в последствиях нарушений заданной характеристики безопасности. Логично, в общем-то. Только в приказе последствия разделяются так:
- незначительные негативные последствия
- (просто) негативные последствия
- значительные негативные последствия.
Я еще могу понять деление на значительные и незначительные (бинарная классика - ноль и единица). Но чем просто ненативные последствия отличаются от незначительных или от значительных?

И вообще что такое негативные последствия для субъекта персональных данных? Кто это определяет? Согласно приказу, это делает оператор. Но он не знает, как отнесется тот или иной субъект персональных данных к нарушению безопасности. Например, для одного человека факт опубликования его возраста не является хоть сколь -нибудь значимой проблемой, а для другого - это "смерти подобно". Оператор не может знать этого заранее.

8. Интересен 17-ый пункт. Если, например, у нас есть система отдела кадров, которая относится к классу К1 (самый высокий класс), а вся остальная сеть относится к классу К4 (самый низший), но при этом данные передаются по единой ЛВС (через одно и тоже сетевое оборудование), то всей сети должен быть присвоен класс К1. Со всеми вытекающими отсюда последствиями... Как этого избежать? Только физическим сегментированием сети. Возможно на практике специалисты, проводящие проверку, и не будут строго следить за этим, но пока 17-ый пункт толковать можно только так. Есть надежда, что со временем появятся разъяснения, в которых будет сказано, что логическое разделение возможно при условии использования сертифицированного оборудования (тех же межсетевых экранов или коммутаторов с ACL). Надежда есть, коль скоро у нас разрешено подключение сетей с гостайной к Интернет.

Ну вот, пожалуй, и весь краткий анализ очередного чуда наших законотворцев. И как не вспомнить слова Виктора Степановича Черномырдина, который вчера отметил свое семидесятилетие: "Хотели как лучше, а получилось, как всегда"...

О заблуждениях в безопасности, ставших классикой

Опубликовал тут статью "О заблуждениях в безопасности, ставших классикой" про три священных коровы ИБ, которые давно уже "протухли":
- ISO 27001
- численная оценка рисков
- триада "конфиденциальность, целостность и доступность".

Читать...

9.4.08

Microsoft покупает Касперского?..

Не 1-е апреля все-таки... Поэтому решил сослаться на достаточно интересную заметку про потенциальную покупку "Лаборатории Касперского" Microsoft'ом. Судить о ее правдивости пока рано, но выводы в ней сделаны в общем-то правильные - в предверии выхода на IPO Касперскому продаваться неразумно.

ЗЫ. Подозрение вызывает только тот факт, что это единственная запись в данном блоге. Возможно это и утка, чтобы поднять цену на Касперского впредверии выхода на IPO.

8.4.08

Почему я выбрал Blogspot, а не LiveJournal

Меня как-то спросили, почему я выбрал Blogspot для своего блога, а не тот же LiveJournal, который и более популярен и данные из него можно автоматически транслировать с помощью различных методов на другие сайты.

Можно долго объяснять мотивацию, но сейчас я зашел к Ильмару на блог "Слеза ИБэшника" и нашел доказательство - простое, понятное и легко демонстрируемое ;-)



ЗЫ. Обратите внимание на рекламный баннер ;-) Я бы не хотел иметь такой у себя на сайте ;-)

Свободное ПО - новый российский фетиш

Мининформсвязи опубликовало концепцию развития свободного ПО, одной из целей которой является укрепление национальной и, в частности, информационной безопасности. Произойдет это за счет обязательного предоставления исходных кодов программ. А теперь несколько комментариев к этому интересному решению.

Во-первых, такой ход повлечет за собой активное использование такого ПО в госструктурах, которые захотят не платить за софт (возможно за поддержку) или платить гораздо меньше, чем стоит коммерческий "закрытый" софт. И это нормальное желание сэкономить ;-)

Во-вторых, на российской рынке активизируются западные поставщики Linux (Redhat, Mandriva, IBM и т.д.), а российские станут выходить в новый для себя сегмент. Собственно такой прецедент уже есть - Информзащита объявила о разработке в своих недрах защищенных операционных систем с семейством продуктов TVLinux XP.

В-третьих, и самое главное, хотелось бы опровергнуть тезис о большей защищенности софта с открытым кодом. Дело ведь не в наличие исходников или их отсутствии. Дело в умении следовать SDLC и наличию у программистов навыков "безопасного" программирования. Если этого нет, то наличие исходных кодов - скорее снизит информационную безопасность, чем повысит ее. Потому что исходники будут доступны всем и те дыры, которые там есть, обнаружить злоумышленнику будет гораздо проще, чем в софте производителя, скрывающего свой код от посторонних.

Также надо заметить, что те, кто хочет сертифицировать свою продукцию по высоким классам и сегодня вынуждены предоставлять свои исходники сертификационным лабораториям. Только круг лиц, имеющих к ним доступ, невелик, в отличие от open source.

Что же касается рядовых потребителей, то они все равно не в состоянии ни проанализировать исходный код серьезных приложений, которые могут насчитывать сотни тысяч и даже десятки миллионов строк кода, ни переработать их, добавив нужный функционал. Иными словами, наличие исходного кода не дает потребителю ничего, кроме мнимой уверенности в защищенности продукта на его основе. К тому же желание проверить соответствие самостоятельно скомпилированной программы с тем, что предоставил производитель, повлечет за собой необходимость наличия соответствующих специалистов, а также компиляторов и иного софта для выполнения такой сверки. Многие ли компании могут похвастаться тем, что могут выполнить такую задачу? А многим ли это надо? Все-таки, это не профильная задача бизнеса.

Подытоживая, можно сделать вывод о том, что данная концепция Мининформсвязи направлена на продвжиение идеи применения свободного ПО в госструктурах и ВПК, но никак не отражает реалий современного бизнеса. И на информационную безопасность эта концепция также никак не влияет (в современных условиях). Опять, как это уже часто бывало, родился документ, в основу которого легла здравая идея, но который нельзя или очень трудно выполнить на практике.

Хотели как лучше, а получилось, как всегда...

7.4.08

О моделях зрелости, ISO 27001, 15408, ROI в безопасности и многом другом...

Интересная дискуссия развернулась на форуме по ИБ на банковском сайте bankir.ru. Если по поводу моделей зрелости действительно есть, о чем говорить, то другие темы достаточно интересны. Например, что такое ОУД в ISO 15408? Это уровень доверия к объекту оценки, т.е. системе защиты, или к оценке оценщика? Оказывается есть специалисты, которые уверяют, что вторая трактовка единственно верная, что российской аутентичный перевод 15408 не соответствует оригиналу, и что нашим разработчикам стандарта надо еще многому учиться.

Аналогичная "битва" развернулась и по поводу трактовок ISO 27001. Например, насколько он зависит от экспертной трактовки? Или какая логика используется при аудите - бинарная (есть мера контроля или нет) или иная?

Также интересная дискуссия началась по поводу термина ROI в безопасности. Может ли ROI не учитывать вообще понятие "прибыль"? И как в методике ROI подменяется термин "прибыль" на "потенциальный ущерб".

Если есть желающие подисскутировать, то приглашаю на форум:
- Зрелость бизнеса и ИБ
- ISO 27001 ISMS Toolkit