29.9.08

Nokia уходит с рынка безопасности

Nokia уходит с рынка безопасности, продав свое подразделение, занимавшееся программно-аппаратными решениями по безопасности. Теперь Nokia сконцентрируется на своем "мобильном" направлении и интеграции своих корпоративных телефонов с решениями Cisco, Microsoft и IBM.

Имя покупателя пока неизвестно...

23.9.08

Шнайер выпускает новую книгу

29 сентября выходит новая книга Брюса Шнайера, которая скромно называется "Шнайер о безопасности". Книга очень интересная и включает размышления автора на различные околобезопасные темы (не только в области ИБ):
  • Почему компьютерная безопасность - фундаментальная проблема экономики?
  • Почему национальное удостоверение личности не может сделать нас защищеннее, только слабее?
  • Какова психология риска?
  • Как ваш мозг принимает решение о покупке решений по безопасности?
  • Почему повсеместное применение видеокамер не делает нас защищеннее?
  • Почему спам неистребим?
  • Разница между реальностью и ощущением безопасности
  • и многое другое.

Нельзя сказать, что это новые темы в творчестве Шнайера. На каждую из них он уже написал эссе. Но новая книга и есть коллекция эссе, опубликованных на сайте Шнайера в период с июня 2002 по июнь 2008 года. Просто они были актуализированы и собраны в одной книге, которая может послужить отличным подарком или чтением в командировках.

22.9.08

McAfee покупает Secure Computing

Сегодня McAfee подписала обязывающее соглашение о приобретении Secure Computing. Общая сумма сделки - 465 миллионов. Secure Computing известна на западном рынке своими решениями по межсетевому экранированию, защите Web и электронной почты, а также репутационной технологией TrustedSource, похожей на то, что делают многие другие борцы со спамом и вредоносными программами (например, SenderBase от IronPort).

Парадокс данной сделки в том, что 3 сентября Secure Computing купила Securify, разработчика систем контроля и мониторинга доступа пользователей к приложениям, а 30 июля этого же года (т.е. когда речь о сделке должна была уже вестись) Secure Computing продала Aladdin'у свое решение удаленного доступа SafeWord. Надо заметить, что дела у Secure Computing шли как-то не очень и все их последние действия лишний раз показывают, что они готовились к продаже - 16-го июля у них сменился CEO, 29-го мая они назначили 4-х новых топ-менеджеров, а 23-го мая выступали на конференции для инвесторов, 25 марта сменили корпоративный стиль и т.д.

McAfee становится очень сильным игроком на рынке информационной безопасности, которая может составить конкуренцию таким признанным лидерам рынка ИБ, как Cisco, IBM и ряду других.

Новое Постановление Правительства по персданным

Правительство 15-го сентября выпустило новое Постановление "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" №687. Документ более чем интересный по одной простой причине. Он сводит на нет ВСЕ, что было сделано до него в виде Постановления 781, "Приказа трех", документов ФСТЭК и ФСБ.

А почему? Все потому, что в п.15 этого постановления сказано дословно следующее: "Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц,ответственных за реализацию указанных мер, устанавливаются оператором". Ни ФСТЭК, ни ФСБ, ни Минкомсвязь... Только оператор. Тут возникает вопрос, а что делать неоператорам? Но это уже отдельная тема.

Но ведь это касается только неавтоматизированной обработки, скажете вы. Но нет. Еще в прошлый раз я отметил, что термин "автоматизированная обработка" трактуется в законе неправильно. Изначально (еще в Европейской Конвенции) речь шла об автоматической обработке. Потом некорректный перевод проник и во все остальные документы по персданным. И вот теперь 687-е постановление, которое говорит, что "обработка персональных данных, содержащихся в информационнойсистеме персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека". Иными словами появление человека при обработке ПДн приводит к тому, что мы должны руководствоваться именно 687-м, а не 781-м постановлением.

Это не значит, что крест поставили на всем, но 7 миллионам организаций, которым грозило выполнение параноидальных требований, можно вздохнуть спокойно. 687-е постановление вывело их из под жестких требований. А вот Госкомстат, ФОМС и ряд других аналогичных ведомств, где обработка действительно автоматическая, по-прежему попадают под действие 781-го постановления.

ЗЫ. Я не исключаю, что через несколько месяцев появится очередное Постановление, которое практически поставит крест на 781-м и вернет все на круги своя ;-) Но пока остается только подивится тому, как у нас принимаются нормативные акты.

15.9.08

Конференция по ИБ 2-го октября

2 октября, в рамках ежегодной выставки информационных технологий Softool'2008, пройдет научно-практическая конференция «Информационная безопасность». В этом году организаторами конференции являются: Ассоциация «РусКрипто», Российская Академия Наук и Академия Информационных Систем. Спонсорами конференции выступили компании "Актив" и Positive Technologies.

Я там буду делать обзор перспективных технологий и тенденций рынка информационной безопасности (доклад "Что будет актуальным в области ИБ в ближайшие годы?").

12.9.08

Стандарт Банка России - новая версия

Сообщество ABISS представило проект третьей редакции Стандарта Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008). Всегда приятно, когда регулятор не ставит перед фактом о выпуске каких-либо требований (а в этом случае они еще и рекомендательные), а выкладывает в открытый доступ документ и принимает комментарии и пожелания.

Чтобы я отметил из нового.
1. В предыдущей версии был такой абзац "При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопасностью организации. Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться". Все верно и логично. Но в новой версии этот абзац был переписан так: "При разработке моделей угроз и моделей нарушителя необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максимально долго. Поэтому все операции в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации должны особенно тщательно контролироваться". Смысл совершенно поменялся. Теперь речь идет не о контроле персонала, а о защите слабоконтролируемых объектов защиты. Хотя и тут есть свои тонкости. Все-таки на мой взгляд вероятность атаки зависит не от степени контролируемости объекта (хотя это и играет роль), а от степени интереса нарушителя к объекту.

2. Если в последней версии акцент был на системе управления (СМИБ), то в проекте новой версии не забыли и про сами решения, обеспечивающие ИБ (СИБ). В новой версии термин "политика ИБ" был заменен на СИБ. Все вместе объединили в СОИБ. Процессный подход оставили без изменений.

3. Из третьей версии исчез 6-й раздел "Основные принципы обеспечения ИБ организаций БС РФ". Сложно сказать, хорошо это или плохо. С одной стороны это прописные истины и они должны быть известны специалистам, а значит и включать их в стандарт не надо. А с другой - почему бы и нет. Бывают ситуации, которые некоторые из этих прописных истин (например, адекватность затрат) нарушаются - в тех же требованиях по безопасности персданных об этом полностью забыли.

4. Сами по себе требования СИБ не поменялись. А вот раздел СМИБ претерпел коренные изменения. Из 3-х страниц второй версии появилось 15 страниц, что говорит о том, что разработчики сконцентрировались именно на управлении системой ИБ. Нельзя сказать, что это плохо. Но мне кажется, что сейчас все помешались на СУИБ (СМИБ по версии стандарта), забывая про нижнюю часть, которой эта самая СУИБ и управляет.

Как бы поступил я, если бы меня спросили разработчики стандарта? Применил бы правило Паретто (об этом я и буду рассказывать на InfoSecurity Moscow). Разработал бы БАЗОВЫЙ стандарт ИБ, который покрывал бы 80% всех применений ИБ в разных предприятиях. Ведь как бы мы не старались разбивать рынок на отрасли, вертикали ит.п., стандартные задачи и механизмы ИБ у всех одинаковые - повышение осведомленности, управление ИБ, тестирование и установка патчей, антивирусы, МСЭ и IPS, IdM и т.п. Отличия конечно же есть, но они составляют всего 20%. И именно под эти 20% я бы и создавал отдельные стандарты/рекомендации, расширяющие БАЗОВЫЙ стандарт.

Если применить это рассуждение к стандарту ЦБ, то я бы сделал следующим образом. Сначала создал бы базовый стандарт и раздел 8 текущей версии (и 7 новой версии) лег бы в его основу. СУИБ я бы вынес в отдельный стандарт, а может быть бы и просто отослал бы к ISO 27001, IDS3 и т.п. А вот для таких приложений, как ДБО, АБС, SWIFT, процессинг и т.п. я бы разработал собственные стандарты. И тогда бы все было логично. Базовый уровень обеспечить должны все. Тут вопросов нет. Стандарт по СУИБ должны применять те, кто дозрел до этого - он не должен быть обязательным. Стандарты по ДБО, процессингу и т.п. должны внедрять те, кто использует эти системы. Причем и тут эти стандарты предъявляют минимально необходимые требования по безопасности конкретных технологий/приложений.

ЗЫ. Детальный анализ требований к СУИБ попробую сделать чуть позже.

ЗЗЫ. Если у вас будет желание, то посмотрите стандарт и вышлите его разработчикам замечания, комментария и предложения. Это тот редкий случай, когда к мнению будущих пользователей стандарта действительно могут прислушаться.

10.9.08

InfoSecurity Moscow 2008

Итак, остался месяц до InfoSecurity Moscow 2008. С точки выставки все понятно - ситуация не меняется из года в год. А вот конференционная часть достаточно интересна. К слову сказать мне удалось пробить для себя 6 выступлений ;-) Буду выступать как всегда, в качестве штатного пессимиста и критиковать все те "позитивные" доклады, которые будут нестись с трибуны ;-)

Начну я с круглого стола "Управление информационными рисками – основа менеджмента в области информационной безопасности", где я выступаю с темой "Управление рисками – миф или профанация?" Учитывая объем статей, выступлений на тему рисков, их оценки (особенно количественной) хочется подлить масла в огонь своим провокационным выступлением.

В круглом столе "Технические стандарты ИБ: приступ страусиной болезни в национальном техническом регулировании?" отмечусь с темой "Принцип Паретто в стандартизации по ИБ". Хочу показать, что не надо изобретать велосипед каждый раз, как это делается у нас в государстве. Достаточно сделать БАЗОВЫЙ стандарт, который покроет 80% типовых задач ИБ. А вот под остальные 20% и делать дополнительные документы и регламенты.

В круглом столе "Управление ИБ как Management и как Governance: небо и земля". Я эту тему двигаю уже не первый год и тут хочу лишний раз напомнить, что не надо зацикливаться на security management, как это происходит сейчас. Надо переходить на новый, более высокий уровень - security governance. Именно тут понимаешь, что ИБ - это не технология и даже не сервис, а бизнес.

В круглом столе "Международные и российские стандарты ИБ – практика внедрения и оценка соответствия" буду опять развенчивать миф о том, что ISO 27001 - это наше все ;-) В презентации "Как не потеряться среди 600 мировых и российских стандартов по ИБ?" покажу, что помимо ISO 2700x есть еще куча разных стандартов, которые можно и нужно реализовывать на своем предприятии.

В круглом столе "Управление инцидентами ИБ" я рассматриваю существующие "Стандарты управления инцидентами ИБ". Сегодня об этом говорят многие, но опять же ссылаются на один единственный стандарт ISO. А ведь есть еще, как минимум, стандарт ITU-T для операторов связи и ряд других документов.

И, наконец, последним аккордом будет выступление "Что такое мобильный офис и как его защитить: лучшая практика" на круглом столе "Мобильный офис: классификация задач доступа, требования и методы обеспечения доверия в агрессивной среде".

А вот седьмое заявленное мной выступление "Почему законодательство о персональных данных выполнить невозможно даже теоретически?" не прошло. Видимо всем надоело, что я ругаю выпущенные документы ФСТЭК и мне решили малость перекрыть кислород ;-)

3.9.08

Ударился в повышение осведомленности

Что-то этот финансовый год (у нас он стартовал с августа) у меня начался под знаком повышения осведомленности в области ИБ. Про поездку в Тайланд я уже написал. Также я подписался под чтением двух курсов в Институте банковского дела:
- Как связать безопасность и бизнес (облегченная версия)
- Безопасность персональных данных.

И это не считая участия в группе Cisco Security Program Organization (CSPO), которая у нас в компании занимается в т.ч. и повышением осведомленности сотрудников в области защиты корпоративных ресурсов.

2.9.08

Опять в Тайланд ;-)

Год назад, по приглашению Учебного центра НТЦ Корпорации ЮНИ я читал выездные курсы "Как связать информационную безопасность и бизнес?" в Тайланде. Поездка получилась интересная и позволила не только отработать курс и получить обратную связь от практиков ИБ, но и посмотреть на красоты Тайланда.

И вот новое приглашение от НТЦ. То же место - Бангкок-Паттайя. Те же даты - 15-23 ноября. Тольку курс на этот раз совершенно иной - "500 стандартов по ИБ, которые необходимо соблюдать в России". Тенденциозное название ;-) Но контент будет примерно соответствовать. За последнюю пару лет в России действительно приняли столько новых законов, указов, постановлений и стандартов, что в пору нанимать на работу специального человека, который бы постоянно отслеживал все изменения в законодательстве и связывал их с бизнесом. Так что тема актуальная и я постараюсь сделать действительно интересный курс, который будет охватывать широкий спектр тем:
  • Законодательство РФ в области информационной безопасности. История становления и развития.
  • Основы права или как обеспечить ИБ, не ущемляя прав граждан и юридических лиц? Пример: легитимность просмотра электронной почты сотрудников. Точка зрения сотрудника, безопасника и юриста.
  • Регуляторы российского рынка ИБ – ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д. Кто и за что отвечает?
  • Виды тайн и защищаемой информации. Персональные данные, коммерческая тайна, государственная тайна, служебная тайна, банковская тайна, тайна связи и т.п.
  • Классика отечественного законодательства в области ИБ. Трехглавый закон. Руководящие документы ФСТЭК и ФСБ. Техническое регулирование. Лицензирование, сертификация и аттестация. ГОСТы по ИБ.
  • Отечественное законодательство в области защиты коммерческой тайны. Федеральный закон. Рекомендации ФСТЭК.
  • Отечественное законодательство в области защиты персональных данных. Федеральный закон. Постановление Правительства. Нормативные документы ФСТЭК.
  • Отечественное законодательство в области защиты конфиденциальной информации. Рекомендации/требования ФСТЭК (СТР-К).
  • Отечественное законодательство в области защиты ключевых систем информационной инфраструктуры. Рекомендации/требования ФСТЭК.
  • Отечественное законодательство в области защиты банковской тайны и автоматизированных банковских систем. Стандарт Банка России по ИБ и другие нормативные акты ЦБ.
  • Законодательство в области защиты операторов связи.
  • Международное законодательство в области ИБ, обязательное или рекомендуемое к применению в России (PCI DSS, ISO 2700x, Базель II, SOX, ISM3, Кодексы корпоративного поведения, COSO ERM, ITIL, COBIT, ISO 20000 и т.п.)
  • Наказание за несоблюдение законодательства в области информационной безопасности. Кодекс об административных правонарушениях, Уголовный Кодекс, Трудовой Кодекс и т.п.
  • Легитимность многих правовых актов в области ИБ. Надо ли вообще их соблюдать с точки зрения закона?
  • Парафраз о правоприменительной практике или права ли пословица "Закон, что дышло…"?
Ключевое отличие от всех аналогичных курсов в 3-х моментах:
  1. Я рассматриваю законодательство не только с точки зрения деятельности службы ИБ, но и с точки зрения регулятора, работодателя и работника. Т.е. учитываю интересы всех сторон, которые участвуют в законодательной деятельности.
  2. Я исхожу из того, что основополагающим нормативным актом в области ИБ является вовсе не трехглавый закон и что это законодательство по данному направлению "не висит" в воздухе, а тесно увязано с множеством других документов - Конституцией, Кодексами, Постановлениями Правительства и Указами Президента, и даже... с Всеобщей Декларацией о правах человека, Окинавской Хартией глобального информационного общества и т.п.
  3. Я не тупо следую рекомендации соблюдать все, что выпушено нашими регуляторами, а рассматриваю законы с критической точки зрения. Какие ошибки и ляпы в них допущены, какие противоречия есть, какие нестыковки с другими законами?.. Какие из требований являются обязательными, а какие носят характер рекомендаций, необязательных к исполнению? Какие документы можно не выполнять, несмотря на их «обязательность»?
Надеюсь, что курс получится действительно интересным и познавательным.

Детали курса - на сайте НТЦ.