Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Когда-то уже была шумиха по поводу того, что с помощью "одноклассников" можно составить карту базирования воинских формирований Советского Союза и РФ, а также время передислокации воинских частей по территории нашей необъятной. И вот новый поворот...
Недавно в "одноклассниках" появился новый (НИКЕМ НЕЗАПРОШЕННЫЙ) сервис - "лента активности". Он показывает, что делают ваши друзья на данном портале - с кем знакомятся, с кем расходятся, в какие группы вступают, какие комментарии оставляют и т.п. Это лакомый кусок для людей, желающих покопаться в чужом нижнем белье и нарыть какую-нибудь конфиденциальную информацию. Например, некто присоединился к группе "Интим общение" или "18+ BEZ COMPLEXOV...". Хотя есть и смешные моменты ;-) Например, один мой товарищ присоединился к группе "Сила в СИСЬКАХ". Я думал это о моем работодателе, ан нет... совсем о другом ;-)
Что характерно, включают вам этот сервис по умолчанию вне зависимости от вашего желания. А вот, чтобы выключить его надо заплатить около 100 рублей. И боюсь, что многие будут платить, желая сохранить инкогнито в своих действиях. Пока не найдется какой-нибудь подкованный в юридических аспектах человек, который захочет доказать свое право на защиту персональных данных.
Все-таки, как ни крути, а из 10-ти драйверов, движущих безопасностью, самым простым (при работе с руководством) является произошедший инцидент. В такой ситуации после получения по шапке можно без каких-либо дополнительных усилий реализовывать проекты по ИБ. Обосновывать и доказывать почти ничего не нужно - все понимают, зачем это надо.
По этой теме уже прошлись многие и я не стал писать про нее, но меня спросили и я решил отписать свое мнение. Суть дела такова: на форуме BMW появился пост (еще один, с описанием самой системы, есть тут) о том, что один джентльмен направил запрос в прокуратуру о законности использования широко разрекламированной системы видеофиксации нарушении ПДД с точки зрения 152-ФЗ. Ему пришел ответ, что система не создана и не эксплуатируется, а следовательно, штрафы, выписанные в результате "действия" такой системы незаконны.
Ну что можно сказать по сему факту? Наши регуляторы, желая срубить бабла, подставили сами себя и своих коллег "по цеху". Теперь смело (если есть силы и желание) можно почти любой запрос/документ/постановление в отношении вас со стороны властей опротестовать, ссылаясь на его незаконность и несоответствие 152-ФЗ. Т.е. закон, который многим мешает, можно использовать и для защиты своих интересов.
Был я давеча на конференции, на которой выступал заместитель начальника управления ФСТЭК по одному из регионов и рассказывал он, как ни странно, про персональные данные. Послушав его доклад (забавно, что свою презентацию после доклада он потребовал удалить с компьютера), я лишний раз убедился, что даже главный регулятор по ИБ в России не знает законодательства, инициированного ими же. Я даже не говорю про ляпы по части четверки документов, но когда представитель ФСТЭК с высокой трибуны заявил, что помимо лицензии на ТЗКИ каждая организация должна получить лицензию на ПРАВО ОБРАБОТКИ персональных данных. Его даже переспросили, не ошибся ли он, на что он утвердительно повторил, что нет и надо ДВЕ лицензии. Попытка выяснить, кто эту лицензию выдает, успеха не принесла ;-)
Ну вот и случилось то, о чем так давно ходили слухи - Информзащита купила ОКБ САПР. Не совсем очевидное решение, учитывая что у ОКБ САПР нет продуктов, по которым бы у Информзащиты не было прямых аналогов. Аккорд похож на SecretNet, Шипка похожа на Security Studio и M-506 (разница только в том, что Шипка реализует шифрование на аппаратном уровне). Скорее всего приобретение было сделано из-за клиентской базы и наработок в области аппаратной защиты. Да и продавался ОКБ САПР в условиях непростой экономической ситуации видимо недорого.
Сейчас некоторые специалисты по ИБ ищут работу ;-( Но учитывая, что многие рекрутинговые агентства и сотрудники HR-отделов завалены горами резюме необходимо выделиться на фоне остальных. Да и в условиях сокращения в первую очередь именно ИТ/ИБ-персонала необходимы иные подходы при написании резюме и собеседований.
Что бы я написал в резюме? Не знания и навыки, которые у многих очень сильно похожи - все ходят на одни и те же курсы и имеют одни и те же сертификации (за редким исключением). Но в любом случае то, чем обладаете вы, ничего не говорит о том, что вы можете дать компании и что вы дали своему прошлому работодателю. Именно на это надо делать акцент в резюме. Сокращенные издержки, предотвращенный ущерб, сертификация по ISO 27001 или успешный аудит по PCI DSS, аттестация ФСТЭК, иные значимые проекты.
Парадоксально, но уже после написания этой заметки Amazon прислал очередной update книг по безопасности и одна из них оказалась в тему - "IT Security Interviews Exposed", посвященную тому как писать резюме специалисту по ИБ и как проходить резюме в условиях кризиса.
Второй презентацией, которую я прочитал в Киеве, была "Оценка эффективности информационной безопасности". Конечно за час сложно было развернуть эту тему целиком, но по ключевым моментам я прошелся, показав, что безопасность можно и нужно оценивать с разных сторон - ИБ, ИТ, финансов, операционной деятельности и т.п. Вплоть до применения системы сбалансированных показателей в области ИБ (на эту тему у меня скоро статья выходит).
Сегодня читал презентацию по позиционированию ИБ в условиях кризиса в Киеве и поскольку было много вопросов, решил выложить ее тут. В целом подход очевиден - традиционные решения и проекты надо преподносить по другому и увязывать их не с борьбой с виртуальными угрозами, до которых многим сейчас просто нет дела, а с реальными бизнес-потребностями - снижением операционных затрат, ростом продуктивности, снижением капитальных затрат и т.п.
В четверг проводили Webinar о позиционировании решений по ИБ в условиях кризиса. Получилось достаточно интересно, на мой взгляд. Позволяет посмотреть на ИБ не с точки зрения собственно защиты, а с точки зрения достижения целей, которые ставит руководство перед всеми отделами - снижение операционных и капитальных затрат, повышение продуктивности и т.п. Разумеется, есть свои нюансы, но все равно информация может быть полезной в текущих условиях.
Длительность Webinar'а: 54 минуты.
ЗЫ. Просмотр с помощью WebEx Player, который можно скачать по ссылке выше. Сам Webinar можно скачать к себе на компьютер.
Президент подписал новый Указ от 17.11.2008 №1625 "О внесении изменений в некоторые акты президента Российской Федерации". Суть проста - ряд ведомств, таких как ФСБ, ФСО, МО и др. получили право самостоятельно устанавливать требования по защите информации в продукции, поставляемой для нужд данных ведомств.
Интересен 7-й пункт про ФСТЭК. Теперь "требования в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющихгосударственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа", которые разрабатывает ФСТЭК, названы обязательными. Правда, теперь, как я понимаю, требования по ИБ могут разрабатываться только в виде технического регламента.
Вчера я выложил свою презентацию с межотраслевого форума директоров по ИБ. Сейчас дошли руки и до общих впечатлений. Надо сказать, что первый день мероприятия удался; надеюсь второй тоже не подкачает.
Из интересных докладов могу отметить Курило А.П., который сказал, что внедрение Базель II в России и до кризиса было под вопросом, а теперь и подавно. Несмотря на внедренные практики управления рисками, мировая банковская система ничего не смогла противопоставить финансовому коллапсу. Г-жа Волчинская как обычно дала обзор законодательства по ИБ выпущенного в последнее время и того, что планируется сделать. Про это я написал уже на bankir.ru (тут и тут). Дима Костров из МТС приводил интересные слайды про обоснование инвестиций в ИБ (вплоть до расчета ROI). Представитель ФСТЭК не сказал ничего нового (такое впечатление, что они читают доклады по одной и той же бумажке). Как всегда самое интересное было в вопросах и ответах. Интересная точка зрения была высказана Велигурой из АРБ. Он говорит количественная оценка рисков - это все фигня и никому не нужно. Типа любого специалиста с точки зрения рисков интересует только ответ "да" или "нет" и все. Хотя при чем тут тогда риск, если у вас всего два значения 0 и 1 (риск либо есть, либо нет) не совсем понятно? На вопрос из зала про связь рисков с Business Impact Analysis так никто внятно и не ответил. А на вопрос Галины Большовой из ИнформКурьерСвязи, почему АРБ не может разработать методику оценки стоимости ущерба хотя бы для банков, представитель АРБ только развел руками. Вот вкратце и все из интересного. Не на всех секциях я смог присутствовать - не было меня на персданных. А там было что-то интересное ;-) Были представители ФСБ и его завалили вопросами (на час больше запланированного). Кто был, может расскажете?
Хочется заметить, что последние мероприятия по ИБ становятся более качественными. Всего за год с моей критической заметки ситуация меняется коренным образом. Появляется пул докладчиков, которым не только есть, что сказать, но они еще и могут это сказать красиво ;-) Организаторы поняли, что слушателям неинтересно внимать рекламе вендоров - гораздо полезнее узнать что-то новое из уст таких же как и они практиков. Поэтому руководителей и сотрудников служб ИБ среди выступающих становится все больше и больше. И это правильно.
ЗЫ. Презентации с форума обещали выложить в течении недели-двух.
Как и обещал выкладываю свою презентацию на сегодняшнем форуме директоров по информационной безопасности, посвященную вопросам аутсорсинга ИБ в России.
В Интернете сейчас активное обсуждение моих мифов, в частности о спаме. Одним из "наездов" на миф, является якобы устаревшие сведения о частоте покупок по спаму. В качестве примера все ссылаются на последнее исследование, согласно которому на 350 миллионов спамовых сообщений количество покупок составило всего 28 случаев. Т.е. существенное отклонение от данных Radicatti 2005-го года. И все сразу стали тыкать меня носом в неактуальные данные.
А теперь посмотрим на само исследование, а не на выжимку из него. Что написано в разделе "Выводы"? Буквально следующее: "We would be the first to admit that these results represent a single data point and are not necessarily representative of spam as a whole. Different campaigns, using different tactics and marketing different products will undoubtedly produce different outcomes. Indeed, we caution strongly against researchers using the conversion rates we have measured for these Storm-based campaigns to justify assumptions in any other context".
Иными словами, считать эти результаты истиной в последней инстанции по меньше мере некорректно; в иных условиях и цифры будут совершенно иные.
Когда-то был в моде слоган "Поколение NEXT". Сейчас у нас поколение, для которого я придумал термин "поколение SMS". А все потому, что мы привыкли общаться укороченными словечками, фразами, как по SMS. Если раньше это было уделом молодежи, то сейчас это явление добралось и до информационной безопасности.
Все чаще в статьях и выступлениях российских специалистов по ИБ встречаются такие слова, что волосы на голове встают дыбом. Всего за один день я услышал три новых для себя слова: - профилактировать - по русски это значит заниматься профилактикой - бюрокрачить - процесс занятия бюрократией - контрактация - процесс заключения контракта.
Несмотря на шествующий по миру кризис, который коснулся и ИТ/ИБ, аналитики считают, что в условиях смены роли ИТ на предприятии, некоторые позиции/должности/роли на нашем рынке будут востребованы как никогда. В частности Forrester называет экспертов по ИБ - самой востребованной специальностью на ближайшие годы.
Прочитал тут одно интервью, в котором директор одной из российских компаний ратует за то, чтобы потребители покупали продукцию в области ИБ именно российского производства. Какие причины названы? Их три:
уход от зависимости от западного производителя (как будто зависимость от нестабильно стоящего на ногах российского разработчика лучше)
цена на российское ПО ниже (правда функциональность и качество тоже страдают)
вы вкладываете деньги в российскую экономику и деньги не уходят зарубеж.
Вот последний пункт меня и заинтересовал. А насколько он вообще правилен? Ведь мы часто слышим про поддержку отечественного производителя. И если не брать в расчет остальные причины и коснуться только ратования за нашу экономику, то ситуация выглядит не так уж и очевидно, как об этом обычно пишут.
Возьмем в качестве примера двух производителей средств защиты - западного и российского (настоящие имена не так важны). Первая компания в России зарабатывает на продаже своих решений около 60 миллионов долларов (цифра вполне реальная). Но это те деньги, которая она получает. На самом деле ее решения продаются на сумму около 100-120 миллионов долларов, т.к. прямых продаж в России она не ведет (это стандартный путь для большинства западных вендоров в области ИБ) и все сделки идут через партнеров, которые обычно имеют от 30 до 50% скидки. Российский разработчик зарабатывает на продаже только своих продуктов около 10-15 миллионов (это высшая планка на сегодняшний день для Топ5 российских компаний); остальные доходы ему приносят перепродажа западных решений и услуги. Итак на чаше весов у нас две цифры - 120 и 15 миллионов долларов. Из первых 120-ти 60 ушло на Запад, а 60 осталось в России. В отечестве в первом случае остается 60 миллионов, во втором - 15. И кто больше поддерживает российскую экономику?
А если бы западный вендор получил право продавать самому? Тут возможно два сценария. Первый - фантастический. Вендор продает все сам, минуя партнерскую сеть. В этом случае все деньги получает он. Но... не менее 30% он отдаст государству напрямую в виде налогов. Т.е. при 120 миллионах это будет 40 миллионов долларов (опять больше 15 миллионов, которые получит российская компания; а ведь налогов она отдаст гораздо меньше). Второй сценарий более реалистичный. Продажи будут идти в соотношении 70/30 или 80/20 в пользу партнеров. В этом случае (при 70/30) западный игрок отдаст 14 миллионов в качестве налогов, а еще 40 миллионов заработают партнеры, т.е. в России останется 54 миллионов.
Разумеется я утрировал немного свои расчеты, но в целом логика верна. Я сравнивал лидеров рынка западного и российского происхождения. Если брать иностранных середнячков или даже аутсайдеров, то конечно при прочих равных вкладывать в российскую продукцию лучше (если вы конечно патриот и верите, что ваши деньги вкладываются в экономику, а не кладутся за счет в швейцарском бынке). Ситуация в пользу российского производителя изменится только тогда, когда его обороты сравняться с западными игроками.
ЗЫ. Я не ратую за приобретение только западного продукта. Исходить надо из конкретных задач и возможностей, а уж на кого попадет перст судьбы - отечественного или зарубежного производителя не так важно.
Конференция DLP Russia 2008, организованная компанией Infowatch, завершилась. Мероприятие мне понравилось ;-) Достаточно неожиданно было увидеть среди участников почти всех серьехных игроков этого рынка - Infowatch, Trend Micro, Verdasys, Symantec (Vontu), Mcafee, Websense. Из западных игроков не было только EMC, а российских (Perimetrix, Device Lock и т.д.) не было вообще. Т.е. тусовка получилась представительная.
Из докладчиков (если не брать рекламодателей и откровенно посторонних людей) понравились почти все. Неплох был Рич Могул, который всю технологию DLP разложил по полочкам, указал на критерии выбора решений, описал пошагово процедуру. Очень толково. Жаль только времени у него было мало, чтобы рассказать все. Но зато есть его whitepaper, которая все это расписывает. Достаточно интересным был рассказ француза из Kroll Ontrack про расследование инцидентов (forensic) - незаезженная тема. Хотя я пока не вижу ее массового распространения в России.
Но тема конечно находится еще в стадии становления; как и весь рынок ИБ в России. На круглом столе я задал вопрос экспертам, многие ли из них используют DLP в своих компаниях. Из 9-ти человек положительно ответили 7. А вот на вопрос: "Как вы измеряете эффективность внедрения с точки зрения ИТ и финансового директора?" не ответил никто ;-( Т.е. люди внедряют решения, но не могут обосновать их эффективность ни с точки зрения эксплуатации, ни с точки зрения инвестиционной привлекательности данного проекта для CFO. В целом такая же ситуация складывается и по другим направлениям ИБ в России (и, видимо, не только в России). Показательны слова Рича Могула на просьбу из зала порекомендовать решение под конкретную задачу. Одним из наводящих вопросов был "А какой ваш бюджет?" Т.е. он исходил не из потребностей организации, под которые нужно предложить решение, а из имеющегося бюджета, которые надо освоить ;-)
Мероприятие было душевное - полезная информация, приятные люди, встреча со сторыми знакомыми... Все это признаки хорошего мероприятия.
Тема персданных настолько прочно вошла в умы всех желающих на этом поживиться, что за последнее время было запущено сразу несколько информационных проектов по данной тематике:
Информационный проект "Персональные данные" от ИнфоТехноПроекта. Вот тут действительно есть, что посмотреть. Тут тебе и новости по утечкам ПДн (данные Периметрикса), все законы и подзаконные акты, включая ссылки на уголовное и административное законодательство, а также международные нормативные акты, множество статей по теме и т.п. Очень полезный сайт.
Информационно-аналитический журнал "Персональные данные", выпускаемый тем же ИнфоТехноПроектом.
блог Травкина Ю.В., одного из авторов закона "О персональных данных". Давно не обновлялся, но есть что посмотреть.
По имеющимся слухам сейчас готовится ряд изменений в нормативные акты, суть которых заключается в том, что получение лицензии на отдельные виды деятельности (как минимум, в области связи) будет обязательно связано с получением лицензии на техническую защиту конфиденциальной информации. Иными словами вы не получите лицензию на основной вид своей деятельности пока не получите лицензию на ТЗКИ. А после этого, как лицензиат, вы уже будете обязаны соблюдать все требования ФСТЭК и по персданным, и СТР-К и все остальное...
17-18 ноября, в Москве пройдет первый межотраслевой форум директоров по ИБ. Программа достаточно насыщенная; выступать будут тоже интересные люди. Я, например ;-) Буду развенчивать очередной миф - про аутсорсинг безопасности ;-) А вообще планируются представители ФСТЭК (про персданные будут вещать), ФСБ (расследование инцидентов), Курило Андрей Петрович (Банк России). Рекламодателей почти не будет (кроме спонсоров) - выступать будут преимущественно потребители, чем и ценно мероприятие.
ЗЫ. Из области юмора. Интересная картинка напротив Елены Константиновны Волчинской висит ;-)
Некоторое время назад в Китае внедрили "золотой щит" - систему контроля доступа китайцев к Интернет. Состоит это всемирный китайский firewall из 600 с лишним тысяч (!) серверов и его создание обошлось китайскому правительству в 800 миллионов долларов. Кстати, дешево получилось - около тысячи долларов на сервер (включая стоимость софта).
К чему это я вернулся к этой бредовой идее? А к тому, что у нас решили сделать тоже самое ;-) Ассоциация разработчиков ПО "Руссофт" решила, что нам надо создать такое же чудо. Инвестиции в него должны, по расчетам "Руссофт", составить несколько сотен миллионов долларов, а срок создания - около 10 лет. Идея с созданием российской операционной системой живет и здравствует ;-)
ЗЫ. Название для данной системы я уже придумал. Если у китайцев это был "золотой щит", то учитывая наши культурные особенности, я предлагаю "березовый шит" ;-)
Все, наверное, помнят шум о конференции по персданным, которая проходила 24 сентября. Там выступало много компаний и организаций, которые предлагали свои продукты и услуги в части выполнения ФЗ-152. И я подумал, если все так упоительно поют дифирамбы требованиям ФЗ и считают их давно назревшими, то сколько компаний, из выступавших на конференции, сами являются зарегистрированными операторами персданных? Насколько эти компании понимают, ЧТО они советуют своим потенциальным заказчикам.
Список выступавших немаленький - среди них российские и западные компании, коммерческие и государственные структуры. В этот список можно добавить и множество других компаний, которые активно продвигают себя на данном рынке.
Затем я зашел на сайт Россвязькомнадзора и по реестру операторов персданных осуществил поиск. Вы, наверное, уже догадались о результате... Из большого перечня организаций только ИнфоТехноПроект имеет статус оператора персданных. Ни одна другая компания, которая так много говорит о необходимости выполнения Федерального закона №152 сама не выполняет требований, о которых ратует ;-)
Что не может не вызывать вопросов, так это тот факт, что и ни один из регуляторов персданных не зарегистрировался как оператор ПДн - ни ФСТЭК, ни ФСБ, ни Минкомсвязь. В реестре есть Россвязьохранкультуры (но не Россвязькомнадзор).
"И эти люди запрещают мне ковыряться в носу" (с) не помню чей
На сайте Россвязькомнадзора размещен список вакансий в Управлении по защите прав субъектов персональных данных. Заместитель начальника управления получает... 5930 рублей в месяц! Другие должности получают и того меньше - около 4000 рублей. А ведь там еще и конкурс объявлен на замещение вакантных должностей. Т.е. кто-то готов идти на такие деньги...
Давно известно, что мы не можем эффективно управлять тем, что мы не можем измерить. Это то, почему так важно оценивать эффективность ИБ. Но мы не можем измерить то, что мы не определили. Именно поэтому так важна терминология в области ИБ. Надо признать, что общего языка у специалистов так и нет. Что такое ИБ? Чем ИБ отличается от защиты информации? Чем информационная безопасность отличается от безопасности информации? Вопросов больше чем ответов. Ситуацию мог бы изменить терминологичекий национальный стандарт.
Такие стандарты есть. Это рекомендации по стандартизации Р 50.1.056-2005 "Основные термины и определения" и ГОСТ Р 50922-2006 "Основные термины и определения". Еще есть РД ФСТЭК по терминам и определениям. Казалось бы чего еще надо? Да, они не совсем полны и к ним есть определенные нарекания, но... Почему каждый руководящий документ или стандарт в области ИБ, который появляется в России, содержит свой собственный раздел, описывающий термины и определения. Я как-то могу оправдать ЦБ, который в свой отраслевой стандарт включил термины, толкования которых уже есть в национальном ГОСТе. Но я не понимаю, почему ФСТЭК, имеющая в своем распоряжении РД с терминами, выпускает документы, не ссылающиеся на этот РД? Почему ФСТЭК имеет СТР-К, четырехкнижие по персданным, четырехкнижие по КСИИ и рекомендации по коммерческой тайне, и в каждом документе СВОИ собственные определения?
С публикации моей прошлой книжки прошло 5 лет (в 2003 году я выпустил второе издание "Обнаружения атак"). Потом я сменил место работы и времени просто не стало. Хотя материал определенный уже был набран. И вот наконец-то я решился довести начатое до конца и подписал договор с Интернет-порталом bankir.ru об электронной публикации своей книги "Мифы и заблуждения информационной безопасности" ;-)
Публиковать буду по частям - со скоростью 3 мифа один раз в неделю. В итоге через год (а именно на столько заключен договор) будет опубликовано распространенных 156 мифов и заблуждений.
Такой формат выбран не случайно и причин на то несколько: 1. Это позволит распределить нагрузку и не пытаться съесть слона целиком. 2. Это будет поддерживать интерес к книге в течение всего года, а не разово. 3. Это позволит получать обратную связь от читателей и учитывать их комментарии и замечания. 4. Мне интересно попробовать именно такой формат ;-)
Мы, т.е. Cisco, запустили интересный формат проведения конференций и выставок по ИБ. Идея проста. Командировки на какие-то мероприятия - дело дорогое и не всегда возможное по причине занятости и загруженности на работе. Да и не всегда можно сорваться в какой-нибудь отделенный город для посещения интересного семинара или конференции. С другой стороны компания Cisco давно продвигает решения по интерактивному взаимодействию (collaboration и unified communications). Объединив эти два момента мы и получили Cisco IT Security Forum.
Он будет проводиться 12-го ноября через Интернет. Никуда ехать не надо - достаточно Интернета и все. Правда канал должен быть хорошим - все-таки тут вам и звук, и видео, и демонстрации, и обмен мнениями - трафик будет нехилым. Но идея интересная - посещать мероприятия, не выходя из дома. Слушать, что говорят эксперты, с чашечкой кофе или кружечкой пива... Предел мечтаний ;-) А главное - все бесплатно ;-)
Программа тоже будет насыщенной. Будут выступления руководства Cisco, наших экспертов по ИБ, заказчиков, аналитиков, лидеров индустрии и т.п. Рассказы будут касаться наиболее животрепещущих тем безопасности - утечки, compliance и т.п. Интересным разделом конференции будет онлайн-демонстрация тех или иных решений.
Надеюсь, что это мероприятие пройдет "на ура" и откроет собой новую эру в организации выставок.
ЗЫ. Надо признать, что лет 8-10 назад я уже вынашивал аналогичную идею - Интернет-выставки по ИБ (без конференции). Но тогда эта идея была даже не инновационной, а революционной и не нашла ни поддержки, ни финансирования.
Итак прошло почти два года с выпуска PCI DSS 1.1 и вот настал очередной момент обновления. 1-го октября PCI Council выпустил версию PCI DSS 1.2. К сожалению каких-то серьезных отличий от предыдущей версии я не нашел - скорее косметические изменения, чем серьезные новшества. Об этом же говорит и версия стандарта. Описание всех изменений можно найти тут.
Ну вот и закончилась InfoSecurity Moscow 2008. Что знаменательного произошло в этот день? Я выступил дважды ;-) Первое выступление было на круглом столе про защищенный мобильный офис. Шел обмен мнениями, как строить защищенный виртуальный офис. Подходов было представлено 4: - наш (т.е. Cisco) - банка "Возрождение" - компани Алмитек, VMWare и Aladdin - компании Элвис+.
Мне понравилось решение Алмитека. Достаточно нестандартно. На токене, совмещенном с флешкой, крутится Винда на VMWare, а также Secret Disk. Все это вставляется в USB и запускается защищенная среда из сертифицированных элементов ;-) Этакий сейфик в недоверенной среде.
Второе мое выступление было посвящено стандартам управления ИБ. Я вообще заметил, что эта InfoSecurity у меня прошло под знаком стандартов - три доклада из 6-ти было посвящено этой теме. Надеюсь, что этот обзор будет полезен в реальной работе.
Symantec покупает MessageLabs. С одной стороны действия Symantec совершенно выбиваются из их стратегии в области ИБ - ведь закрыли же они свое направление "железных" решений по ИБ. да и Gartner не рекомендовал заказчикам рассматривать Symantec, как поставщика средств защиты информации. С другой стороны покупка MessageLabs укладывается в обшую тенденцию рынка, когда компании начинают активно вкладываться в сервисное направление. В частности в пресс-релизе о покупке говорится, что Symantec хочет развивать направление SaaS (software-as-a-service). Так что посмотрим, чем это все закончится ;-)
Закончился день второй InfoSecurity Moscow 2008. Сегодня я рассказывал про малоизвестные стандарты в области ИБ. Когда готовил презентацию сам узнал много нового ;-) Как минимум про 27-ую серию ISO. Вместо 7 стандартов (от 27000 до 27006) 27-я серия будет включать 37 стандартов, в т.ч. и уже ранее выпущенных ISO, которые будут гармонизированы с новыми документами.
Итак, закончился первый день InfoSecurity Russia 2008. Выкладываю свои презентации. Первая посвящена теме Security Governance. Не могу сказать, что она удалась. И зал был не тот (технический для такой темы явно не подходил), и аудитория еще не проснулась, да и я погорячился, когда эту тему выставил на InfoSecurity. Все-таки пока эту тему рано поднимать. Ее аудитория - это CIO Summit'ы в разных вариантах.
Вторая тема была посвящена вопросам стандартизации. Или точнее ее несовершества в России. Я думал, что я пессимист, но оказалось, что есть и более пессимистичные люди ;-) В итоге сошлись на том, что в ближайшее время единства при разработке стандартов ИБ в России не будет. Это признал бизнес и даже регуляторы ;-( Ситуация будет только хуже, т.к. на рынок активно выходит Минкомсвязь, у которого свое видение развития стандартизации ИБ (то же новое Постановление по персданным). Достаточно интересным было выступление представители Ростехрегулирования, который поделился тем, что Воронежский институт ФСТЭК в этом году выпустил 13 стандартов по ИБ (адаптация ISO/IEC) - в следующем еще будет 9. Т.е. на месте ситуация не стоит, но и за бизнес никто ничего решать не будет. Спасение утопающих...
И третьей своей презентацией я завершал сессию по рискам. Изначально планировалось, что я начну сессию, но получилось так, что я завершал. В итоге получилось неплохо - после рассказа интеграторов о том, что анализ и управление рисками - это хорошо, я выступил с рассмотрением текущих методов измерения вероятности рисков и тяжести последствий от них.
Сейчас это может быть уже не столь актуально, но когда только вышли первые документы по персданным, я заинтересовался, а сколько же реально можно срубить бабла на этой теме. И вот некоторые выкладки, которые у меня получились:
Число юрлиц и индивидуальных предпринимателей, которые подпадают под требования данного законодательства (до выхода 687-го Постановления), составляет 7 миллионов.
Объем рынка услуг по персданным на 2009-й календарный год составляет 300 миллиардов рублей (по оценкам одного из ФСТЭКовских НИИ, озвученных на конференции в Сочи). Это, кстати, очень заниженная оценка ;-) Если разделить 300 миллиардов на 7 миллионов, то мы получим всего 43 тысячи рублей. За такие деньги врядли можно "родить" модель угроз или какие-либо иные документы (если только эти документы не поставят на поток). Для крупных компаний эта цифра явно будет выше и измеряться не десятками тысяч рублей, а долларов. Ну да ладно... Возможно представитель ФСТЭК посчитал, что не все сразу ринутся выполнять требования ФЗ-152 и процесс этот будет только нарастать. Тогда оценка в 300 миллиардов вполне адекватна.
Стоимость аттестации одного рабочего места - 10-15 тысяч рублей. А число аттестумых компьютеров у нас как минимум 7 миллионов (если предположить, что у каждого оператора персданных только один компьютер). Т.е. еще 105 миллиардов рублей. А ведь это аттестация автономных АРМ ;-) Если сюда приплюсовать сетевую составляющую и разработку документов, то цена возрастет раза в два (плюс/минус). Например, в предложении одной известной российской компании аттестация одной защищенной комнаты с двумя персоналками (включая установку двух СЗИ, продажу и монтаж генераторов шума и разработку комплекта документов) стояла цифра в 60000 рублей. За 2(!) компьютера.
Могу предположить, что не менее трети всего железа и софта так или иначе будет завязано на обработку персданных (а треть - это еще пессимистическая оценка). По требования ФСТЭК все эти решения должны быть сертифицированы. Пессимистичный анализ четверокнижия говорит, что сертификат НДВ нужен на все элементы ИСПДн, а также нужен сертификат по ТУ/РД/15408. Усредненная стоимость сертификата (без НДВ) составляет около 10-15% от стоимости изделия. Если вспомнить, что у нас из западных производителей сертифицированное производство имеют только Microsoft и Cisco, то всем остальным придется сертифицировать либо единичные экземпляры, либо партии продукции (или затевать сертификацию производства, что не так уж и просто). Т.е. при рынке ПО/железа в 12 миллиардов долларов стоимость этой сертификации (пока без НДВ) составит около $1,5 миллиардов или в рублях около 37 миллиардов рублей. У российских разработчиков цена сертификата уже включена в стоимость, но и доля российских сертифицированных разработок в рынке ИТ у нас не так велика (я бы ею вообще пренебрег).
Теперь, что касается НДВ. Стоимость сертификации (если представить, что западная компания все-таки выдаст исходники своих решений) какого-нибудь MS Word (учитываем зарплату, налоги и себестоимость) составит для усредненной испытательной лаборатории около 130000 долларов (18 человекомесяцев). Это без изысков - гонять АИСТа и писать бумажки. Если покопать глубже, то цена конечно же возрастет. Если решение openource, то цена может быть чуть ниже (но несущественно). Например, сертификация одной из opensource операционных систем в Росси обошлась (по слухам) около 250 тысяч долларов (4-й уровень НДВ). А таких программных решений участвую в обработке, хранении, передаче персданных десятки тысяч наименований! Ткну пальцем в небо, но предположу, что сертификация по НДВ (по минимуму и если будет налажено производство самим производителем) всего многообразия ПО и железа даст нам (точнее им) еще около одного миллиарда долларов.
Для получения лицензии на ТЗКИ надо обучить минимум двух человек. Стоимость такого обучения (для получения документа государственного образца) составляет около 50000 рублей (по ценам УЦ Информзащиты). Разумеется ждать, что каждый оператор обучит по двух человек не приходится и рынок аутсорсинга здесь сыграет в полную силу (не имея ресурсов и лицензий можно уйти под крышу лицензиата ФСТЭК). Но даже, если каждый сотый оператор обучит своих людей, то мы имеем 140 миллионов долларов (вот где учебным центрам можно порезвиться).
Какие еще у нас есть затраты? Лицензирование ТЗКИ. По сравнению со всем остальным затраты копеечные - всего несколько тысяч рублей за саму лицензию (мероприятия для получения лицензии я не рассматриваю).
Стоимость работ по противодействию ПЭМИН и закупке сертифицированных защитных решений оценить сложно, но попробую. Считается, что адекватная цена защиты одного компьютера (если сложить все требования ФСТЭК и взять сертифицированный Windows или Linux) составит около 200 долларов (включает антивирус, токены и т.п.). Защита контура ИСПДн в среднем на компанию может обойтись тысяч в 5-10 долларов (если сильно экономить). Защита серверов врядли обойдется дешевле тысячи на один узел. Итого получаем, что для оператора среднего масштаба очень усредненная оценка стоимости защитных решений (без ПЭМИН и организационных мероприятия) составит около 22-25 тысяч долларов. Умножаем это цифру на 4 миллиона (именно столько у нас операторов-юрлиц; индивидуалов не считаю) и выходим на 80-100 миллиардов (долларов!). А ведь это только стоимость лицензий. Про совокупную стоимость владения, которая превышает цену лицензии в 5-7 раз я даже не говорю. Как и про ПЭМИН (этой темой не владею).
Все ли мы посчитали? Нет. Всякие оргмеры, обучение персонала, набор специалистов в отделы ЗИ, бюрократические процедуры я не оценивал ввиду сложности этой задачи. Есть и еще одна статья расходов, которую стоило бы учесть, но сейчас не представляется возможным из-за отсутствия сколь-нибудь значимой статистики. Речь идет о наказании за невыполнении требований регуляторов. А там оно и не такое уж и малое, если вчитаться в законы. Например, ст.13.11 - до десяти рублей за КАЖДОЕ нарушение. А вот за невыполнение предписания ФСТЭК у нас штраф по КоАП уже составляет 500 тысяч рублей! А таких статей, по которым можно "попасть" у нас пару десятков ;-)
Итак, что мы получили? Весь рынок информационной безопасности в России в прошлом году оценивался в 360 миллионов долларов!!! Сейчас мы насчитали "обязательных" требований по безопасности персданных на 3 триллиона рублей или 120 миллиардов долларов! Чтобы представить себе эту цифру могу сказать, что ВВП России в прошлом году (по данным МВФ) составил 2 087 815 миллионов долларов (оценки Всемирного банка и ЦРУ не сильно отличаются от этой цифры); доходная часть бюджета РФ на 2007 год составляет 6965,3 млрд руб. (расходная - 5463,5 млрд руб.), а емкость рынка ПО в 2007 году в России составила 1,87 млрд.долларов (около 50 миллиардов рублей). А весь рынок ИТ в России (включая услуги, поставки оборудования и т.п.) составил всего 17,6 миллиардов (440 миллиардов рублей). А ведь эти оценки были сделаны ДО выхода требований ФСТЭК.
Иными словами, рынок персданных у нас должен составить почти половину доходной части бюджета или около 6% от ВВП!
Nokia уходит с рынка безопасности, продав свое подразделение, занимавшееся программно-аппаратными решениями по безопасности. Теперь Nokia сконцентрируется на своем "мобильном" направлении и интеграции своих корпоративных телефонов с решениями Cisco, Microsoft и IBM.
29 сентября выходит новая книга Брюса Шнайера, которая скромно называется "Шнайер о безопасности". Книга очень интересная и включает размышления автора на различные околобезопасные темы (не только в области ИБ):
Почему компьютерная безопасность - фундаментальная проблема экономики?
Почему национальное удостоверение личности не может сделать нас защищеннее, только слабее?
Какова психология риска?
Как ваш мозг принимает решение о покупке решений по безопасности?
Почему повсеместное применение видеокамер не делает нас защищеннее?
Почему спам неистребим?
Разница между реальностью и ощущением безопасности
и многое другое.
Нельзя сказать, что это новые темы в творчестве Шнайера. На каждую из них он уже написал эссе. Но новая книга и есть коллекция эссе, опубликованных на сайте Шнайера в период с июня 2002 по июнь 2008 года. Просто они были актуализированы и собраны в одной книге, которая может послужить отличным подарком или чтением в командировках.
Сегодня McAfee подписала обязывающее соглашение о приобретении Secure Computing. Общая сумма сделки - 465 миллионов. Secure Computing известна на западном рынке своими решениями по межсетевому экранированию, защите Web и электронной почты, а также репутационной технологией TrustedSource, похожей на то, что делают многие другие борцы со спамом и вредоносными программами (например, SenderBase от IronPort).
Парадокс данной сделки в том, что 3 сентября Secure Computing купила Securify, разработчика систем контроля и мониторинга доступа пользователей к приложениям, а 30 июля этого же года (т.е. когда речь о сделке должна была уже вестись) Secure Computing продала Aladdin'у свое решение удаленного доступа SafeWord. Надо заметить, что дела у Secure Computing шли как-то не очень и все их последние действия лишний раз показывают, что они готовились к продаже - 16-го июля у них сменился CEO, 29-го мая они назначили 4-х новых топ-менеджеров, а 23-го мая выступали на конференции для инвесторов, 25 марта сменили корпоративный стиль и т.д.
McAfee становится очень сильным игроком на рынке информационной безопасности, которая может составить конкуренцию таким признанным лидерам рынка ИБ, как Cisco, IBM и ряду других.
Правительство 15-го сентября выпустило новое Постановление "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" №687. Документ более чем интересный по одной простой причине. Он сводит на нет ВСЕ, что было сделано до него в виде Постановления 781, "Приказа трех", документов ФСТЭК и ФСБ.
А почему? Все потому, что в п.15 этого постановления сказано дословно следующее: "Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц,ответственных за реализацию указанных мер, устанавливаются оператором". Ни ФСТЭК, ни ФСБ, ни Минкомсвязь... Только оператор. Тут возникает вопрос, а что делать неоператорам? Но это уже отдельная тема.
Но ведь это касается только неавтоматизированной обработки, скажете вы. Но нет. Еще в прошлый раз я отметил, что термин "автоматизированная обработка" трактуется в законе неправильно. Изначально (еще в Европейской Конвенции) речь шла об автоматической обработке. Потом некорректный перевод проник и во все остальные документы по персданным. И вот теперь 687-е постановление, которое говорит, что "обработка персональных данных, содержащихся в информационнойсистеме персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека". Иными словами появление человека при обработке ПДн приводит к тому, что мы должны руководствоваться именно 687-м, а не 781-м постановлением.
Это не значит, что крест поставили на всем, но 7 миллионам организаций, которым грозило выполнение параноидальных требований, можно вздохнуть спокойно. 687-е постановление вывело их из под жестких требований. А вот Госкомстат, ФОМС и ряд других аналогичных ведомств, где обработка действительно автоматическая, по-прежему попадают под действие 781-го постановления.
ЗЫ. Я не исключаю, что через несколько месяцев появится очередное Постановление, которое практически поставит крест на 781-м и вернет все на круги своя ;-) Но пока остается только подивится тому, как у нас принимаются нормативные акты.
2 октября, в рамках ежегодной выставки информационных технологий Softool'2008, пройдет научно-практическая конференция «Информационная безопасность». В этом году организаторами конференции являются: Ассоциация «РусКрипто», Российская Академия Наук и Академия Информационных Систем. Спонсорами конференции выступили компании "Актив" и Positive Technologies.
Я там буду делать обзор перспективных технологий и тенденций рынка информационной безопасности (доклад "Что будет актуальным в области ИБ в ближайшие годы?").
Сообщество ABISS представило проект третьей редакции Стандарта Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008). Всегда приятно, когда регулятор не ставит перед фактом о выпуске каких-либо требований (а в этом случае они еще и рекомендательные), а выкладывает в открытый доступ документ и принимает комментарии и пожелания.
Чтобы я отметил из нового. 1. В предыдущей версии был такой абзац "При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопасностью организации. Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться". Все верно и логично. Но в новой версии этот абзац был переписан так: "При разработке моделей угроз и моделей нарушителя необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максимально долго. Поэтому все операции в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации должны особенно тщательно контролироваться". Смысл совершенно поменялся. Теперь речь идет не о контроле персонала, а о защите слабоконтролируемых объектов защиты. Хотя и тут есть свои тонкости. Все-таки на мой взгляд вероятность атаки зависит не от степени контролируемости объекта (хотя это и играет роль), а от степени интереса нарушителя к объекту.
2. Если в последней версии акцент был на системе управления (СМИБ), то в проекте новой версии не забыли и про сами решения, обеспечивающие ИБ (СИБ). В новой версии термин "политика ИБ" был заменен на СИБ. Все вместе объединили в СОИБ. Процессный подход оставили без изменений.
3. Из третьей версии исчез 6-й раздел "Основные принципы обеспечения ИБ организаций БС РФ". Сложно сказать, хорошо это или плохо. С одной стороны это прописные истины и они должны быть известны специалистам, а значит и включать их в стандарт не надо. А с другой - почему бы и нет. Бывают ситуации, которые некоторые из этих прописных истин (например, адекватность затрат) нарушаются - в тех же требованиях по безопасности персданных об этом полностью забыли.
4. Сами по себе требования СИБ не поменялись. А вот раздел СМИБ претерпел коренные изменения. Из 3-х страниц второй версии появилось 15 страниц, что говорит о том, что разработчики сконцентрировались именно на управлении системой ИБ. Нельзя сказать, что это плохо. Но мне кажется, что сейчас все помешались на СУИБ (СМИБ по версии стандарта), забывая про нижнюю часть, которой эта самая СУИБ и управляет.
Как бы поступил я, если бы меня спросили разработчики стандарта? Применил бы правило Паретто (об этом я и буду рассказывать на InfoSecurity Moscow). Разработал бы БАЗОВЫЙ стандарт ИБ, который покрывал бы 80% всех применений ИБ в разных предприятиях. Ведь как бы мы не старались разбивать рынок на отрасли, вертикали ит.п., стандартные задачи и механизмы ИБ у всех одинаковые - повышение осведомленности, управление ИБ, тестирование и установка патчей, антивирусы, МСЭ и IPS, IdM и т.п. Отличия конечно же есть, но они составляют всего 20%. И именно под эти 20% я бы и создавал отдельные стандарты/рекомендации, расширяющие БАЗОВЫЙ стандарт.
Если применить это рассуждение к стандарту ЦБ, то я бы сделал следующим образом. Сначала создал бы базовый стандарт и раздел 8 текущей версии (и 7 новой версии) лег бы в его основу. СУИБ я бы вынес в отдельный стандарт, а может быть бы и просто отослал бы к ISO 27001, IDS3 и т.п. А вот для таких приложений, как ДБО, АБС, SWIFT, процессинг и т.п. я бы разработал собственные стандарты. И тогда бы все было логично. Базовый уровень обеспечить должны все. Тут вопросов нет. Стандарт по СУИБ должны применять те, кто дозрел до этого - он не должен быть обязательным. Стандарты по ДБО, процессингу и т.п. должны внедрять те, кто использует эти системы. Причем и тут эти стандарты предъявляют минимально необходимые требования по безопасности конкретных технологий/приложений.
ЗЫ. Детальный анализ требований к СУИБ попробую сделать чуть позже.
ЗЗЫ. Если у вас будет желание, то посмотрите стандарт и вышлите его разработчикам замечания, комментария и предложения. Это тот редкий случай, когда к мнению будущих пользователей стандарта действительно могут прислушаться.
Итак, остался месяц до InfoSecurity Moscow 2008. С точки выставки все понятно - ситуация не меняется из года в год. А вот конференционная часть достаточно интересна. К слову сказать мне удалось пробить для себя 6 выступлений ;-) Буду выступать как всегда, в качестве штатного пессимиста и критиковать все те "позитивные" доклады, которые будут нестись с трибуны ;-)
Начну я с круглого стола "Управление информационными рисками – основа менеджмента в области информационной безопасности", где я выступаю с темой "Управление рисками – миф или профанация?" Учитывая объем статей, выступлений на тему рисков, их оценки (особенно количественной) хочется подлить масла в огонь своим провокационным выступлением.
В круглом столе "Технические стандарты ИБ: приступ страусиной болезни в национальном техническом регулировании?" отмечусь с темой "Принцип Паретто в стандартизации по ИБ". Хочу показать, что не надо изобретать велосипед каждый раз, как это делается у нас в государстве. Достаточно сделать БАЗОВЫЙ стандарт, который покроет 80% типовых задач ИБ. А вот под остальные 20% и делать дополнительные документы и регламенты.
В круглом столе "Управление ИБ как Management и как Governance: небо и земля". Я эту тему двигаю уже не первый год и тут хочу лишний раз напомнить, что не надо зацикливаться на security management, как это происходит сейчас. Надо переходить на новый, более высокий уровень - security governance. Именно тут понимаешь, что ИБ - это не технология и даже не сервис, а бизнес.
В круглом столе "Международные и российские стандарты ИБ – практика внедрения и оценка соответствия" буду опять развенчивать миф о том, что ISO 27001 - это наше все ;-) В презентации "Как не потеряться среди 600 мировых и российских стандартов по ИБ?" покажу, что помимо ISO 2700x есть еще куча разных стандартов, которые можно и нужно реализовывать на своем предприятии.
В круглом столе "Управление инцидентами ИБ" я рассматриваю существующие "Стандарты управления инцидентами ИБ". Сегодня об этом говорят многие, но опять же ссылаются на один единственный стандарт ISO. А ведь есть еще, как минимум, стандарт ITU-T для операторов связи и ряд других документов.
И, наконец, последним аккордом будет выступление "Что такое мобильный офис и как его защитить: лучшая практика" на круглом столе "Мобильный офис: классификация задач доступа, требования и методы обеспечения доверия в агрессивной среде".
А вот седьмое заявленное мной выступление "Почему законодательство о персональных данных выполнить невозможно даже теоретически?" не прошло. Видимо всем надоело, что я ругаю выпущенные документы ФСТЭК и мне решили малость перекрыть кислород ;-)
Что-то этот финансовый год (у нас он стартовал с августа) у меня начался под знаком повышения осведомленности в области ИБ. Про поездку в Тайланд я уже написал. Также я подписался под чтением двух курсов в Институте банковского дела: - Как связать безопасность и бизнес (облегченная версия) - Безопасность персональных данных.
И это не считая участия в группе Cisco Security Program Organization (CSPO), которая у нас в компании занимается в т.ч. и повышением осведомленности сотрудников в области защиты корпоративных ресурсов.
Год назад, по приглашению Учебного центра НТЦ Корпорации ЮНИ я читал выездные курсы "Как связать информационную безопасность и бизнес?" в Тайланде. Поездка получилась интересная и позволила не только отработать курс и получить обратную связь от практиков ИБ, но и посмотреть на красоты Тайланда.
И вот новое приглашение от НТЦ. То же место - Бангкок-Паттайя. Те же даты - 15-23 ноября. Тольку курс на этот раз совершенно иной - "500 стандартов по ИБ, которые необходимо соблюдать в России". Тенденциозное название ;-) Но контент будет примерно соответствовать. За последнюю пару лет в России действительно приняли столько новых законов, указов, постановлений и стандартов, что в пору нанимать на работу специального человека, который бы постоянно отслеживал все изменения в законодательстве и связывал их с бизнесом. Так что тема актуальная и я постараюсь сделать действительно интересный курс, который будет охватывать широкий спектр тем:
Законодательство РФ в области информационной безопасности. История становления и развития.
Основы права или как обеспечить ИБ, не ущемляя прав граждан и юридических лиц? Пример: легитимность просмотра электронной почты сотрудников. Точка зрения сотрудника, безопасника и юриста.
Регуляторы российского рынка ИБ – ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д. Кто и за что отвечает?
Виды тайн и защищаемой информации. Персональные данные, коммерческая тайна, государственная тайна, служебная тайна, банковская тайна, тайна связи и т.п.
Классика отечественного законодательства в области ИБ. Трехглавый закон. Руководящие документы ФСТЭК и ФСБ. Техническое регулирование. Лицензирование, сертификация и аттестация. ГОСТы по ИБ.
Отечественное законодательство в области защиты коммерческой тайны. Федеральный закон. Рекомендации ФСТЭК.
Отечественное законодательство в области защиты персональных данных. Федеральный закон. Постановление Правительства. Нормативные документы ФСТЭК.
Отечественное законодательство в области защиты конфиденциальной информации. Рекомендации/требования ФСТЭК (СТР-К).
Отечественное законодательство в области защиты ключевых систем информационной инфраструктуры. Рекомендации/требования ФСТЭК.
Отечественное законодательство в области защиты банковской тайны и автоматизированных банковских систем. Стандарт Банка России по ИБ и другие нормативные акты ЦБ.
Законодательство в области защиты операторов связи.
Международное законодательство в области ИБ, обязательное или рекомендуемое к применению в России (PCI DSS, ISO 2700x, Базель II, SOX, ISM3, Кодексы корпоративного поведения, COSO ERM, ITIL, COBIT, ISO 20000 и т.п.)
Наказание за несоблюдение законодательства в области информационной безопасности. Кодекс об административных правонарушениях, Уголовный Кодекс, Трудовой Кодекс и т.п.
Легитимность многих правовых актов в области ИБ. Надо ли вообще их соблюдать с точки зрения закона?
Парафраз о правоприменительной практике или права ли пословица "Закон, что дышло…"?
Ключевое отличие от всех аналогичных курсов в 3-х моментах:
Я рассматриваю законодательство не только с точки зрения деятельности службы ИБ, но и с точки зрения регулятора, работодателя и работника. Т.е. учитываю интересы всех сторон, которые участвуют в законодательной деятельности.
Я исхожу из того, что основополагающим нормативным актом в области ИБ является вовсе не трехглавый закон и что это законодательство по данному направлению "не висит" в воздухе, а тесно увязано с множеством других документов - Конституцией, Кодексами, Постановлениями Правительства и Указами Президента, и даже... с Всеобщей Декларацией о правах человека, Окинавской Хартией глобального информационного общества и т.п.
Я не тупо следую рекомендации соблюдать все, что выпушено нашими регуляторами, а рассматриваю законы с критической точки зрения. Какие ошибки и ляпы в них допущены, какие противоречия есть, какие нестыковки с другими законами?.. Какие из требований являются обязательными, а какие носят характер рекомендаций, необязательных к исполнению? Какие документы можно не выполнять, несмотря на их «обязательность»?
Надеюсь, что курс получится действительно интересным и познавательным.
Приятно осознавать, что действия службы ИБ могут получать не только внутреннюю (в виде снижения числа инцидентов и иных метрик ИБ), но и внешнюю оценку. Например, на днях видео-курс "Inadvertent Disclosure", который создали наши подразделения Cisco Security Programs Organization и Cisco Global Government Solutions Group, получил награду Crystal Award от Digital Video Awards.
Этот факт лишний раз доказывает, что при внедрении ИБ в компании (особенно в такой области как повышение осведомленности), необходимо не просто доносить техническую или юридическую информацию с помощью браузера или PowerPoint, а использовать всю мощь современных обучающих и видеотехнологий. Учитывая, что рядовые сотрудники не занимаются ИБ, им не знакомы технологические термины и жаргонизмы, и они далеки от теории ИБ, то мы должны работать на их подсознание. И тут без видео/аудио-технологий никак не обойтись.
ЗЫ. Цена создания таких курсов достаточно высока, но и эффект совершенно иной.
ЗЗЫ. Недавно видел пример дистанционного курса по повышению осведомленности по ИБ, подготовленного одним российским УЦ. Это нечто! В браузере (только IE) запускается Windows Media Player (только 11-ой версии), через который демонстрируется видеозапись (с обычной камеры) курса по ИБ. На переднем плане человек (обычный преподаватель, мужчина) замогильным голосом вещает о том, что такое ИБ и как важна она для предприятия. Съемка ведется в обычном классе с плохим освещением и слабой акустикой. Человек говорит монотонно и уже минут через 5 после начала начинаешь не только скучать, но и зевать ;-) Ни о каких спецэффектах и говорить не приходится. Длительность курса несколько часов (если не дней) - представить, что кто-то из обычных сотрудников будет его слушать я не могу. А цена курса о-о-о-очень неслабая.
Стоило уйти в отпуск, как произошло сразу два поглощения в области информационной безопасности: 1. Motorola поглотила AirDefense. Последняя была известна в сегменте защиты беспроводных сетей. Учитывая, что в беспроводных технологиях, один из ключевых вопросов, мешающих их развитию, это безопасность, действия Motorola являются вполне обоснованными. Вопрос только в том, что сама Motorola ранее не была замечена в сколь-нибудь активной работе в данном направлении (по крайней мере публичной). 2. McAfee покупает Reconnex. 46-тимиллионная сделка позволила McAfee выйти на рынок DLP, вслед за EMC, Symantec, Trend Micro и рядом других производителей ИБ.
Компания LETA IT-company выпустила второй отчет "Навстречу переменам: рынок информационной безопасности 2007-2008", посвященный рынку ИБ в России. У меня и к первому отчету были серьезные претензии, но видимо авторы второй версии не приняли во внимание всю ту критику, которая на них свалилась. При этом авторы смело заявляют "Первый отчет был выпущен в начале 2007 года и многие его оценки стали признанными фактами на рынке информационных технологий".
Что же меня смутило в этом отчете? Во-первых, названный объем рынка в 912 миллионов долларов. Наверное, приятно причислять себя к почти миллиардному рынку, но эта цифра не просто взята с потолка, - она притянута за уши. Причем авторы противоречат сами себе. В прощлом отчете объем "белого" рынка ИБ составлял 250 миллионов; в этом - 431. При этом цифра рост объявляется в 45-50%! Как у математика (в прошлом) у меня при этих объемах такого роста никак не получается. Другая цифра - 6% всего рынка - это аппаратное обеспечение. Только мы, как один из крупнейших производителей именно аппаратной безопасности, зарабатываем в России вдвое больше. А ведь помимо нас встречаются и другие игроки (нечастно, но встречаются ;-)
Вообще приведенные цифры, кроме как гаданием на кофейной гуще не назовешь. "Белый" рынок, "черный" рынок, "серый" рынок? Как его оценивали? Откуда такие цифры? Что в них входит? Если только то, что четко называется средством защиты, то 912 миллионов - это оценка раза в 2,5-3 превышает реальность. Если речь идет даже о встроенных в инфраструктурные решения механизмах безопасности (ОС, СУБД, маршрутизаторы, коммутаторы), то емкость рынка превышает оценки LETA в разы. Правда про последний вариант LETA даже не упоминает.
Во-вторых, непонятна методика подготовки отчета и источники информации. В преамбуле сказано, что цифры взяты путем опроса участников рынка. Cisco как бы и не последняя на российском рынке (если не сказать первая по данным Cnews) ИБ, но нас не спрашивали. Это конечно не показатель, но сомнение в остальных оценках закрадывается. И вообще, почему в отчете не указаны компании, которых опрашивали? Чего скрывать их имена? Может потому, что никакого опроса и не было?
Главным разочарованием авторы отчеты называют "отсутствие роста широкого применения международного стандарта ISO 27001". А кто его вообще предсказывал, этот рост? "Эксперты" LETA? Ни один здравомыслящий специалист такого предсказать не мог. Да, интерес к стандарту есть. да, есть первые попытки сертификации. Но ни о каком широком применении необязательного стандарта речи и быть не может. Если уж авторы ссылаются на то, что пользовались данными Gartner, то могли бы посмотреть на оценки этой международной компании. А она еще пару лет назад предсказывала, что стандарты ISO 2700x выйдут на "плато продуктивности" не раньше чем через 5-10 лет.
Главной удачей рынка называется активный рост сегмента DLP. Это просто смешно. Активность Infowatch и Perimetrix на данном поприще еще не говорит о том, что рынок развит. Все DLP-вендоры вместе взятые заработали в России от силы миллионов 6-10 (LETA, правда, называет цифру в 24 миллиона). При правдивости данных LETA - это меньше процента. Интересное толкование удачи. И вообще DLP не дает покоя специалистам LETA. Почему-то они считают, что быстрый рост данного сегмента российского рынка связан с выходом документов ФСТЭК по персональным данным и выходом российских компаний на IPO и обязательным соответствии SOX. Однако 4-ка нормативных актов ФСТЭК по защите ПДн вообще ни слова не говорит про DLP-решения (даже косвенно), а IPO необязательно должно осуществляться в Америке, где и действует SOX/
Одной из главных тенденций развития угроз эксперты LETA называют угрозы для мобильных устройств. И я опять задумываюсь о том, что не стоит слепо копировать западные отчеты и надо иногда думать. Я активно езжу и в России и зарубежом и еще ни разу не столкнулся с мобильной угрозой. НИ РАЗУ!!! Мобильный Касперский у меня раз пять на смартфоне "вылез" и то по поводу неизвестного отправителя SMS. Угроза мобильных угроз очень сильно раздута. Да, про нее нельзя забывать и через несколько лет она станет актуальной (может и в России). Но нельзя же ее называть одной из главных. Вывод о росте интереса к мобильным устройствам со сканерами отпечатков пальцев я комментировать не буду.
Интересный вывод сделан о том, что одной из важных тенденций 2007 года стал "экономический" подход при выборе и внедрении решений ИБ. Мол, многие компании научились считать стоимость своей информации и активно используют методы финансовой отдачи в проекты по ИБ. Где, кто?.. Ау?!..
Некоторые моменты отчеты вызывают недоумение и вопросы. Например, авторы почему-то ставят знак равенства между ISO 20000 и ITILv3. А ведь последний был выпущен двумя годами позже ISOшного стандарта. В отчете, датированном 2008-м годом (не ранее марта), упоминается компания Vontu, которую Symantec купил еще в прошлом октябре.
Интересно посмотреть на отчет и с точки зрения стилистики и русского языка (про орфографические ошибки, согласование падежов я вообще не говорю). Например, в начале отчета приведены главные драйверы роста рынка ИБ в России. Но по ряду из них написано, что они не являются общеприменими и скорее отражают частный случай. Какже он тогда стал драйвером роста? С удивлением узнал, что термин СУИБ вообще мужского рода; хотя всегда считал, что СУИБ, это система, т.е. она.
Из всех выводов LETA я могу согласиться только с одним - "В 2007-2008 гг. произошло усиление внимания государства к вопросам защиты конфиденциальной информации, за это время было выпущено ряд нормативных актов". Правда, чтобы сделать такой вывод, не надо обладать аналитическим умом.
Пугает меня заключение, данное в конце отчета: "Компания LETA продолжит исследование российского рынка информационной безопасности. В дальнейшем будут выпушены исследования как по отдельным сегментам, так и по рынку в целом (2009 год). LETA IT-company надеется, что эти исследования, которые компания готовит для себя, будут востребованы всеми участниками ИТ и ИБ рынка."
Сегодня прошло первое очное заседание экспертного совета по вопросам защиты от внутренних угроз ИБ. У совета есть свой сайт - http://www.dlp-expert.ru/. На сайте уже сейчас есть много полезной информации и планируется его наполнять еще больше.
Комментарии к моей статье по легитимности контроля электронной почты выявили интересную (но неприятную) закономерность. Безопасники в массей своей не считают целесообразным соблюдать действующее законодательство, мотивируя это, как правило, двумя основными тезисами: - я занимаюсь ИБ и все, что я делаю на благо работодателя, законно по определению, а на права рядовых сотрудников мне "с высокой колокольни" - для скользких тем отсутствует правоприменительная практика и жесткость законов компенсируется необязательностью их исполнения.
Я с этим столкнулся еще несколько лет назад, когда преподаватели ряда ВУЗов, учащие студентов вопросам ИБ и защите интеллектуальной собственности, занимались кражей этой самой собственности и плагиатом! И ведь они не считали себя виноватыми!
Другой интересный вывод касается кругозора большинства безопасников (я сам, когда писал статью, понял, что в этой части мало подкован) в юридической плоскости. Очень многие знают профильные законы - трехглавый, "О персональных данных", "О коммерческой тайне" и т.п., но за рамки этих нормативных актов они не выходят и не думают выходить. А ведь эти законы не висят в воздухе - они опираются на Конституцию РФ, Кодексы, другие законы, в т.ч. и на европейское законодательство. И занимаясь ИБ, мы не должны забывать, что все наши действия не могут нарушать действующее законодательство.
И ситуация не движется с места... Такое я замечал много лет назад, такой подход остался и сейчас. А ведь еще Эйнштейн как-то сказал: "Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень". Это касается и безопасности, которую надо решать, привлекая знания и умения из разных областей...
Совершенно случайно наткнулся на фан-клуб Евгения Касперского. Почитал восторженные отзывы о ЕК, полюбовался фотографиями его встреч с детьми, посмотрел ролик с YouTube "Как русский царь завоевал весь мир"... Конечно ему не откажешь в том, что он сделал себя сам, а маркетинговая машина ЛК - одна из самых агрессивных в России, но... что-то это очень сильно напоминает времена культа личности... ну вы знаете кого...
Существует распространеннок заблуждение о том, что в целях информационной безопасности одноименная служба имеет право перлюстрировать электронную почту сотрудников в целях поисках в них утечек конфиденциальной информации. Этому мифу подвержены, что характерно, и известные специалисты. Их точка зрения мне понятна и отчасти я ее разделяю. Действительно в целях ИБ мы должны контролировать разные каналы, по которым может утекать информация из компании.
Но помимо здравого смысла мы не должны забывать, что все наши действия должны соотноситься с буквой закона и не нарушать его. А вот это-то и происходит сплошь и рядом. К сожалению, специалисты по ИБ часто не знакомы с законодательством не только в области ИБ, но и в смежных областях, без которых их деятельность будет неполноценной. Одной из них является тайна переписки, дарованная нам 23-й статьей Конституции. Как не пыталались ее дезавуировать. И то, что на работе не может быть личной переписки, и что сотрудники не имеют права писать на работе личные письма, и что все написанное работником принадлежит работодателю, и что перлюстрация разрешена законом "О коммерческой тайне"... Но все это не совсем так.
Бурные баталии на bankir.ru, RU.SECURITY (Fido), securitylab.ru привели меня к мысли, что надо попытаться объединить все точки зрения в едином материале, что я и сделал, специально для портала bankir.ru.
Первая часть статьи опубликована тут, вторая тут, а ее обсуждении идет как на форуме, так и под самими статьями.
В России такими носителями у нас пока являются паспорта, но тенденция налицо - правительство (или околоправительственные структуры) озаботилось вопросами безопасности всерьез. Сначала невыполнимые требования по персданным, теперь их развитие, спроецированное на биометрию, скоро сделают достоянием гласности требования по защите критических инфраструктур... Защищать информацию становится все сложнее, а рынок окологосударевых разработчиков, которые совсем недавно считались почившими в бозе, опять возрождается ;-(
ЗЫ. Я, например, счастливый обладатель паспорта с биометрией. По идее это дает мне преимущество при поездках за границу - в "Домодедово" и "Шереметьево-2" есть отдельный пограничный пункт для владельцев такого чуда. Правда, сколько я не летаю, это окно все время закрыто ;-(
18 мая 2007 года (в ПРОШЛОМ году) заместитель директора ФСТЭК России утвердил следующие документы по безопасности критических систем информационной инфраструктуры (возможно проекты):
- "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры"
- "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры"
- "Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры"?
Также Секретарем Совета Безопасности 08.11.2005 утвержден докумет "Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий".
Согласно этим документам Ключевые системы входят в состав следующих сегментов информационной инфраструктуры:
- системы органов государственной власти
- системы органов управления правоохранительных структур
- системы финансово-кредитной и банковской деятельности
- системы предупреждения и ликвидации чрезвычайных ситуаций
- географические и навигационные системы
- сети связи общего пользования на участках, без резервных видов связи
- системы специального назначения
- спутниковые системы для обеспечения органов управления и в спец. целях
- системы управления добычей и транспортировкой нефти, нефтепродуктов и газа
- программно-технические комплексы центров управления ВСС
- системы управления водоснабжением и энергоснабжением
- системы управления транспортом (наземным, воздушным, морским)
- системы управления потенциально опасными объектами.
По имеющейся информации в государственный реестр КСИИ, который ведет ФСТЭК, уже включено около 1200 систем. Официальный статус реестру планируется придать постановлением Правительства РФ в середине – конце 2008 г.