31.1.09

Блог 2

В общем предложили мне тут попробовать свои силы в ведении второго блога на Компьютерре. Сначала ответил отказом, т.к. вести несколько блогов занятие не самое правильное. Тем более, что я уже отказывал ранее в нескольких аналогичных просьбах для других изданий/порталов. Но тут решил все-таки попробовать. Да и много от меня не требовали - всего пару заметок в месяц. Посмотрим, что из этого получится. А пока первая запись про управление зоопарком средств защиты.

30.1.09

Инвестиционная группа Vector Capital купила Aladdin

12 января Aladdin подписал соглашение о вхождении в Hi-Tech холдинг под управлением частной компании - Vector Capital. Сумма сделки оценивается около 160 миллионов долларов. Интересно что Vector уже управляет такими известными компаниями, как SafeNet, WatchGuard, WinZip, LANDesk и др.

Данная сделка подтверждает тенденцию по консолидации рынка IdM, которая происходит в последнюю пару лет. Не могу сказать, что она может сильно поменять расклад игроков в этом сегменте (особенно в России), но определенное влияние на него конечно будет присутствовать.

Безопасность и Balanced Scorecard

"Информационная безопасность — одна из важнейших, но не очень зримых областей в деятельности почти любой компании. Высший приоритет она имеет в организациях, в которых информационные и нематериальные активы превалируют над материальными.

Несмотря на это, отношение к службе информационной безопасности со стороны остальных подразделений оставляет желать лучшего. Причина в том, что успешная деятельность подразделения как раз и не видна — невозможно увидеть отсутствие атак, эпидемий, претензий со стороны регуляторов, бесперебойную работу инфраструктуры. Но как тогда продемонстрировать свою необходимость? Службы начинают заниматься несвойственной для них работой (читать чужую почту, закрывать доступ на «нужные» сайты, вызывая не всегда позитивную реакцию, и т.п.) потому, что не могут правильно выбрать методы оценки своей деятельности.


В своем исходном варианте BSC не очень подходит для применения в информационной безопасности, но, внеся небольшие изменения, можно адаптировать этот подход к нашим целям."

В первом номере "Директора информационной службы" вышла моя статья "BSC и информационная безопасность", посвященная применению системы сбалансированных показателей в деятельности службы ИБ.

ЗЫ. Правду статью малость порезали в части иллюстративного материала ;-(

29.1.09

Центр «ЛСЗ» ФСБ России опубликовал список сертифицированных криптосредств

То, о чем так долго мечтали, наконец-то случилось. А может случилось оно давно, но я не видел... Центр по лицензированию, сертификации и защите государственной тайны ФСБ России на своей страничке в Интернете опубликовал перечень сертифицированных средств защиты информации, не содержащей сведений, составляющих государственную тайну. Среди них не только классические шифровальные средства, ЭЦП и УЦ, но и межсетевые экраны и даже системы обнаружения атак.

В списке присутствуют и западные решения, коих там всего 3:
  • Microsoft Windows XP Professional Service Pack 2
  • Microsoft Windows Server 2003 Enterprise Edition Service Pack 1
  • Keon.
Помимо достаточно известных решений, есть и малознакомые. Я, например, с удивлением узнал, что в России помимо "Форпоста" (сертификат на IDS только от ФСТЭК) и "Аргуса" (сертификат ФСБ как IDS) существует еще и некая система обнаружения атак "Ручей-М". В Интернете описаний ее нет, кроме такого: "средство для анализа сетевого трафика, достоверного обнаружения вирусных атак в режиме времени близком к реальному, а также последующей визуализации вирусной обстановки"... Разработчик - питерский Удостоверяющий центр (!) Информ-Про. Заказчик (единственный из публичных) - ФТС.

Вот так живешь, живешь и не знаешь, что у нас в России свои IDS создают... Может я был не прав 6 лет назад, когда писал статью "Можно ли создать в России свою систему обнаружения атак"?

ЗЫ. Кстати, в документации на "Аргус" есть замечательная фраза (в первом же абзаце): "...Аппаратно-программного комплекса обнаружения компьютерных атак "Аргус" (Проект "Упырь")".

28.1.09

Самый популярный пароль

То, о чем так долго говорили, опять подтвердилось. Вторым по популярности паролем (после 123456) у пользователей является слово... "пароль" (а точнее "password"). Таковы результаты исследований Марка Барнетта, автора книги "Perfect Passwords". А все потому, что, как мне кажется, службы ИБ так и не поняли всю важность повышения осведомленности и работы с пользователями, концентрируясь на совершенно иных, как правило, технических аспектах своей работы.

27.1.09

Джеймс Бонд и безопасность Cisco

Наша компания создала прикольный ролик по безопасности ;-)

26.1.09

Новое исследование по российскому рынку ИБ

Не очень известное консалтинговое бюро «Практика Безопасности» (стартап, о котором я уже писал) и портал SecurityLab.ru представили результаты первого российского исследования, призванного выявить актуальное положение дел в отрасли информационной безопасности в момент экономического спада и тотального сокращения расходов.

Начало было интересным... Правда, прочтя ключевые выводы я сразу подумал, что это очередная реклама, завуалированная под исследование. И правда, из 6 таких выводов, в 5-ти из них говорится о том, что пришла пора не смотреть на имидж малоэффективного интегратора, а обратиться к профессиональным консультантам-внедренцам, коими, видимо, и являются авторы отчета.

Идея у отчета достаточно здравая, но вот некоторые его результаты и сделанные выводы вызывают вопросы. Например, основную аудиторию отчета составляют малые предприятия (меньше 100 человек), которые НИКОГДА не обращались (и скорее всего не будут в обозримом будущем обращаться) к внешним ИБ/ИТ-консультантам. Акцент на SMB лишний раз подтверждается и тем, что согласно отчету 25% респондентов принимает окончательное решение по вопросам ИБ. Вопрос очень размытый, но скорее всего речь шла о выделении денег на те или иные аспекты ИБ. Такой высокий процент decision makers говорит о том, что никакого "закупочного центра" у респондентов нет и решение не проходит различные стадии согласования, как это принято в крупном бизнесе. Люди, принимающие решения (особенно в кризис), - это руководители компаний. А они на SecLab не ходят ;-( Если это конечно, не малый бизнес.

Вывод о том, что респонденты оптимистично смотрят на кризис, меня удивил. Исходя из приведенной диаграммы, вывод следует немного иной. Правда, это говорит, что сами авторы отчета не страдают пессимизмом и это отрадно. Некоторые вопросы/ответы исследования просто порадовали. Специалисты по ИБ считают, что снижать им зарплаты - это неправильно (кто бы спорил) и повлияет на уровень жизни работника (бесспорное утверждение).

Снижение затрат на ИБ - вещь очевидная и не требующая каких-либо исследований. Пока службы ИБ не покажут своего вклада в бизнес, говорить о росте инвестиций в это направление в условиях кризиса не приходится. Зато сделана грубейшая ошибка, связанная с непониманием "бухгалтерии" безопасности. Из положительного ответа на вопрос "будут ли сокращены расходы на ПО" сделан вывод, что сокращаются расходы на обновление ПО. А это в корне неверно. Приобретение ПО - это затраты капитальные и они действительно могут сокращаться. А вот обновление ПО - это уже затраты операционные, имеющие совершенно иную статью бюджета и не имеющие отношения к CapEx.

Еще одно интересное противоречие обнаружилось в отчете. С одной стороны все "выводы" говорят, что надо обращаться к профессиональным консультантам, а с другой свыше 60% заказчиков категорически отказываются отдавать безопасность внешним компаниями. Как это стыкуется? Непонятно. Возможно, авторы отчета не считают консалтинговые услуги аутсорсингом? Это распространенное мнение.

Наиболее интересен для меня был раздел исследования, посвященный оценке эффективности ИБ. Вот тут на мой взгляд никаких ошибок и противоречий. Не готовы еще специалисты ИБ к данной теме, не готовы...

В целом , отчет вызывает противоречивые чувства. Отдельные вопросы и ответы в нем достаточно интересны. Но в совокупности... да еще и учитывая сделанные авторами выводы... складывается впечатление, что исследователи решили в условиях кризиса лишний раз обратить на себя внимание. Учитывая, как любят журналисты такие "исследования", свою задачу они выполнили. Но вот практической ценности от такого отчета я лично не вижу ;-(

ЗЫ. Что интересно, "Практика безопасности" подхватила флаг Infowatch, который одним из первых стал использовать аналитику в качестве инструмента продвижения себя. Сейчас многие компании стали обращать внимание на этот способ рекламы себя и своих продуктов/услуг.

23.1.09

О нарушении конфиденциальности на политическом уровне

Текст контракта "Нафтогаза" и "Газпрома" стал доступен прессе всего через 4 дня после его подписания несмотря на наличие в договоре пункта о конфиденциальности. Возникает достаточно интересная ситуация. Если это был санкционированный слив информации от одной из сторон, то это как раз та ситуация, когда на безопасности плюют ради политики. Все усилия СБ/ИБ в таком деле будут бесполезны и эти риски надо учитывать в своей работы о-о-о-чень политизированным организациям.

Если же речь идет о несанкционированной утечке, то это лишний раз подтверждает, что самым распространенным каналом утечки действительно важной информации в компаниях обычно бывает именно руководство (по некоторым данным до 80% всех утечек осуществляется на уровне начальства), на которое все решения по ИБ, как правило, не распространяются ;-(

21.1.09

Безопасность персданных по версии США

NIST выпустил проект документа по защите персональных данных для американских государственных структур - "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)" (SP 800-122).

Почему же они умеют писать документы, а наши специалисты нет? Выкрик в пустоту...

Во-первых, американцы расписали, что такое ущерб субъекту ПДн с учетом градации (низкий, средний, высокий). Может быть эти толкования и не столь детальны как хотелось бы, но они есть. Кроме того, там описаны факторы, влияющие на уровень ущерба, чего в документах ФСТЭК даже не предполагалось. А уж приведенные примеры в документах NIST - это вообще сказка. Чтобы было понятно всем и сразу, что имели ввиду авторы документа. Что характерно, в России почему-то не принято в тексты официальных документов вставлять примеры, существенно облегчающие понимание того или иного пассажа. А вот американцы видимо понимают, что важна не форма документа, а его содержание.

Защитные меры продуманы тоже не в пример ФСТЭКовским. Тут и реагирование на инциденты, и повышение осведомленности и тренинги, и различные оргмеры. Такой жесткой концентрации на технических мерах нет. Более того, NIST поступил очень грамотно - не стал расписывать все технические меры, а отослал на разработанные ранее рекомендации (SP 800-53 "Recommended Security Controls for Federal Information Systems").

Понимая, что проще обезличить ПДн, чем заниматься их защитой, в документе прописаны различные механизмы вроде включения в ПДн шума, усреднение данных, обобщение и т.п. Т.е. с данными по прежнему можно работать, но вот уровень их защиты может быть не такой серьезный. Это не только облегчает жизнь, но и дает возможность существенно сэкономить.

И, наконец, больше половины документа занимают приложения:
  • как идентифицировать ПДн в различных сценариях (работа из дома, тестирование систем, апгрейд систем и т.д.)
  • FAQ по защите персданных
  • различные определения ПДн (со ссылками на нормативные акты). Это очень важное приложение, которое существенно уменьшает число толкований термина "персональные данные".
  • ключевые принципы защиты ПДн
  • и т.д.

Надо признать, что документ NIST на несколько порядков лучше и грамотнее документов ФСТЭК. И хотя они не являются обязательными к применению в России, я бы мог их порекомендовать к применению у нас. По крайней мере некоторые разделы из них более чем полезны в реальнй жизни. Например, обезличивание ПДн с целью ухода от жестких защитных требований.

Банк России утвердил третью версию своего стандарта

Итак, в информационном сообщении Банка России говорится, что "Распоряжением Банка России от 25.12.2008 N Р-1674 с 01.05.2009 введена в действие третья редакция Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2008".

Также там говорится "Новая, третья редакция Стандарта не изменяет общей концепции второй редакции Стандарта и при этом развивает, уточняет и детализирует ее отдельные требования. Основными отличительными особенностями новой редакции Стандарта являются:
  • уточнение и введение новых терминов и понятий;
  • уточнение и конкретизация требований по обеспечению информационной безопасности, проведенная с учетом замечаний и предложений организаций БС РФ - членов ПКЗ, а также на основе опыта внедрения Стандарта как в Банке России, так и в других организациях БС РФ;
  • детализация требований по обеспечению информационной безопасности в части системы менеджмента информационной безопасности;
  • исключение раздела 4 "Основные принципы обеспечения информационной безопасности организаций БС РФ" и раздела 11 "Модель зрелости процессов менеджмента информационной безопасности организаций БС РФ" второй редакции Стандарта".
Об обязательности пока ни слова. На ряде последних конференций также звучало, что пока данный стандарт остается со статусом "рекомендуется", а не "обязателен к внедрению".

ЗЫ. В сентябре я уже отписывался по данному стандарту.

ЗЗЫ. Обсуждение этого варианта на банкир.ру.

17.1.09

Россия опять изобретает велосипед

На Cnews опубликован материал о том, что инициативная группа товарищей во главе с депутатом Госдумы Ильей Пономаревым предлагает Медведеву (в очередной раз) запустить нацпроект по созданию отечественной операционной системы. Мотивация одна - национальная безопасность. Помимо Пономарева за русскую ОС ратуют ассоциация Руссофт (идея национального МСЭ на границе Рунета принадлежит именно им), ассоциация АПКИТ, ассоциация инноваторов НАИРИТ, ALT Linux и чиновники. Их интересы в общем понятны. Нацпроект - это мощная "кормушка", за которой не стоит ничего.

Если вдуматься в идею национальной ОС, то этот проект не выдерживает даже поверхостной критики. Я ее уже высказывал. Суть простая. ОС - это всего лишь промежуточное звено между прикладным софтом и железом. А у нас нет ни отечественных приложений, ни тем более железа. О какой тогда национальной безопасности идет речь? Позиция Microsoft из материала CNews мне ближе и понятна (хотя и их коммерческий интерес тоже очевиден).

Но более интересны два фрагмента данного материала. Первый касается платности предлагаемой ОС. Хотя в основу систему лягут открытые коды, вопрос ее свободности (т.е. цены) остается открытым. Чиновники не хотят упускать такой лакомый кусок, это понятно. Второй момент - как заставить бизнес, органы власти и т.д. перейти на отечественное изделие, претендующее на то, чтобы стать №1? Прекрасно понимая, что рыночными методами (кто лучше, того и выбирают) тут ничего не сделать, чиновники хотят пойти классическим путем - регулирующими мерами заставить рынок повернуться к этой ОС лицом, а не тем, чем обычно поворачиваются к таким изделиям.

15.1.09

CA покупает Eurekify

Что-то пропустил я эту сделку ;-( В ноябре CA купил израильскую компаниюEurekify, которая предлагала программное решение по управлению ролями. Детали сделки не разглашаются.

Данная сделка произошла всего через месяц после покупки CA компании IDFocus. И тоже в сегменте IdM, который является одним из основных направлений, в котором различные игроки ведут сделки по поглощению.

12.1.09

Как обманывают клиентов производители средств защиты

2-5 апреля пройдет одиннадцатая Международная конференция «РусКрипто’2009», посвященная современной криптологии, технологиям электронной цифровой подписи, системам и средствам информационной безопасности.

Меня пригласили провести там секцию, для которой я выбрал достаточно провокационное название - "Как обманывают клиентов производители средств защиты". Так что милости прошу ;-)

11.1.09

CA покупает Orchestria

5 января стало известно, что CA купила одного из последних независимых разработчиков DLP-решений. Условия сделки не разглашаются. Ранее активно замеченная на рынке IdM, CA переключила свое внимание и на другой активно растущий сегмент рынка ИБ - DLP.

Учитывая "активность" CA в России и "известность" Orchestria (которая работает в основном в Северной Америке и имеет всего около 250 заказчиков), я пока не предполагаю серьезного влияния этого события на российский рынок ИБ.

Check Point покупает бизнес Nokia

Как-то в прошлом году не успел про это написать - исправляюсь. 29-го сентября я писал, что Nokia ушла с рынка безопасности, продав неизвестному покупателю свой бизнес ИБ. И вот в конце декабря стал известен покупатель - им, как и предполагалось, стала израильская компания Check Point.

Check Point была последним крупным оплотом программных МСЭ и вот и он пал. То, что так давно советовали Check Point'у наконец-то произошло - теперь у этого игрока рынка ИБ появится серьезная аппаратная платформа, которую Nokia делала в течении 12-ти лет сотрудничества с Check Point.

Собственно на рынок это событие мало повлияет, т.к. все аналитики и так считали Check Point и Nokia неделимым тандемом, а для самого покупателя это может стать положительным моментом (если они правильно проведут процесс поглощения и интеграции купленного бизнеса). Заказчикам же теперь придется готовиться к росту затрат на МСЭ, т.к. если раньше они платили только за софт, то теперь им придется еще платить и за железо, выкидывая свою старую аппаратную платформу на помойку (врядли CP будет и дальше продавать софт отдельно от железа - с точки зрения бизнеса - это нелогично).