27.2.09

Подсчет вероятности угрозы - новая методика

В статье LETA-IT про риски есть здравая мысль, что вероятность риска ИБ посчитать нереально. А вот дальше делается интересный вывод/предложение - заменить вероятность риска на силу защитных мер. Дословно это звучит следующим образом - "можно порекомендовать подход, основанный на том, что вероятность реализации угрозы напрямую зависит от того, насколько мощными являются защитные меры, применяемые в организации". Зависимость разумеется есть, но она не прямая. Вероятность осуществления риска зависит в первую очередь от того, хочет ли злоумышленник его осуществлять, т.е. от ценности цели. Если он не хочет, то и вероятность риска равна нулю, какие бы защитные меры не присутствовали/отсутствовали. А если он хочет... Например, есть два компьютера - ПК секретарши и платежный сервер. У первого защитных мер нет совсем, а у второго - меры среднего уровня. Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так.

Зачем все время возвращаться к бессмысленной идее измерения рисков в ИБ, если на данном этапе развития отрасли, это задача неосуществимая в 99,9% случаев?

CISSP больше не котируется среди специалистов

SANS опубликовал свой ежегодный отчет по зарплатам специалистов по ИБ в Штатах. Из ключевых вещей можно выделить следующие:
  • ИБ - высокооплачиваемая специальность
  • для 4/5 специалистов, принимающих на работу безопасников, сертификация по ИБ является полодительным дифференциатором, а для 41% компания - поводом к повышению зарплаты
  • На 2009 год самыми интересными для обучения являются тесты на проникновение, обнаружение атак и расследование компьютерных преступлений.
  • 17,4% всех респондентов опроса (читай специалистов по ИБ) - представительницы прекрасной половины
  • Средняя зарплата - от 80.000 до 100.000 долларов (правда, не совсем понятно, речь идет о годовой зарплате или годовом доходе). Если не брать руководящий состав, то больше всего получают инженеры ИБ и сетевые архитекторы ИБ. Потом идут пентестеры.
  • общая востребованность сертификаций выглядит следующим образом - GCIH, CCNA, CCNP, GCIA и CISSP. Судя по отчету речь идет об оценке со стороны людей, принимающих на работу соискателей. Оценка профессионалов совершенно иная.
  • среди самых самых оцениваемых специалистами с опытом работы свыше 20 лет сертификаций 15 первых мест занимают разные сертификаты GIAC (подразделения SANS). Учитывая, что и сам отчет выпущен SANS, такой лидерство SANS'овских сертификатов врядли случайно. Хотя я давно слышал от западных коллег, что сертификация GIAC ценится гораздо больше, многих других (в т.ч. и известных в России). После всех сертификаций GIAC самая ценимая у профессионалов - CCIE от Cisco ;-) CISSP вообще в список из 25 сертификаций не попал, а CISA только на 17-м месте. А среди специалистов по ИБ с опытом работы до 20-ти лет на первом месте находится GCIH, на втором - CISA, на третьем - SSCP от (ISC)2. CISSP на восьмом месте.
  • К технологиям, которые будут внедряться в компаниях в ближайшие 12 месяцев - управление конфигурацией, SIEM, безопасность storage, безопасность Wi-Fi, управление инцидентами.
  • Список льгот, которые удерживают специалистов по ИБ у работодателя, начинается с benefits (не понял, что это такое, как самостоятельный пункт). Потом идет гибкий график работы, зарплата/компенсация, стабильность/защищенность. Завершает пятерку challenge, т.е. интересные проекты, сложности, с которыми приходится сталкиваться. Во вторую пятерку входят - атмосфера/окружение/стиль одежды, местоположение, доверие со стороны работодателя, коллеги и ответственность.
  • С другой стороны список вещей, которые мотивируют специалистов по ИБ, уйти с работы - зарплата/компенсация, challenge, benefits, бонус (а в списке предпочитаемых льгот он где-то в третьей двадцатке) и стабильность/защищенность.

26.2.09

Что будет с безопасностью через 100 лет?!

На Network World опубликована перчая часть статьи про то, что будет в безопасность в 2109 году. Интересное чтение ;-)

Проводи аудит и возврат финансов составит 10000%

IT Policy Compliance Group провела исследование на тему "Managing Spend on Information Security and Audit for Better Results" (российские СМИ, правда, его называют "Risk-based Performance Budgeting for Information Security and Audit in IT" ;-) Результаты исследования выглядят солидно - 30 с лишним страниц, куча графиков и таблиц... Но вот как ЭТО считали я так и не до пер. Суть отчета простая - проводите аудит и анализ риска и вы не только сэкономите на затратах на ИБ, но и получите возврат финансовых средств. Причем в умопомрачительных масштабах - до 10 000% (в российском переводе - до 100 000%). Формулу этого расчета, где предотвращенные потери делятся на величину остаточного риска, я не понял ;-( Зато вывод мне понравился - проводить анализ "затраты-выгоды" (cost-benefit analysis) при таком возврате не потребуется, т.к. выгода налицо ;-)

25.2.09

Хакеры взломали Symantec

Румынский хакер взломал сайт Symantec, повторив подвиг 1999 года (ответ Symantec). Полутора неделями ранее был взломан сайт американского офиса Лаборатории Касперского (официальный ответ ЛК), а 12-го и 16-го февраля - сайты F-Secure и BitDefender (официальных ответов этих компаний я не нашел).

Забавно, что параллельно с этими взломами я отправил в bankir.ru миф про то, что компании, занимающиеся ИБ, не ломают ;-)

ЗЫ. Я регулярно читаю портал itoday.ru. Позавчера обнаружил, что при заходе на него, Firefox выдает сообщение, что этот сайт подозрительный и несет опасность. А вчера оказалось, что он заражен и распространяет на своих страницах трояна. А сегодня тоже самое делала рекламная сеть DoubleClick.

24.2.09

AVG купила Sana Security

AVG, антивирусный вендор второго эшелона, купил малоизвестного производителя HIPS - компанию Sana Security, продукция которой была ориентирована на частных пользователей. В России ни тот, ни другой вендор не известны, т.к. работают на рынке SOHO, который в России не развиты.

StillSecure покупает ProtectPoint, а TrustWave поглощает Mirage Networks

StillSecure купила компанию ProtectPoint Security, предлагавшую услуги аутсорсинга безопасности (Managed Security Services). Эта сделка лишний раз подтверждает тезис о том, что в условиях кризиса даже небольшие компании могут рассчитывать на приобретение менее удачливых своих коллег, а также тезис о том, что MSS является одним из 6-ти направлений, которые ждет активный процесс консолидации в ближайшее время.

В свою очередь TrustWave объявила 17-го февраля о поглощении Mirage Network, разработчика одной из NAC-реализаций. Зачем это TrustWave не совсем понятно, учитывая, что она всю жизнь занималась аутсорсингом безопасности и консалтинговыми услугами. Возможна она пытается вывести на рынок Managed Security Services технологию NAC? Кто знает? Посмотрим...

Инвестиции в информационную безопасность растут

В условиях кризиса возрастает опасность ИТ-саботажа, утечек информации и иных внутренних угроз, а следовательно растет интерес к технологиям безопасности и фирмам, их предлагающим. Это в свою очередб подхлестывает интерес венчурных фондов к инвестициям в это перспективное направление. В частности, начиная с октября этого года, инвестиции в ИБ составили 149 миллионов долларов, которые получили 15 зарубежных небольших компаний, трудящихся на ниве ИБ. Среди них как известные игроки этой отрасли (Palo Alto, Finjan или StillSecure), так и стартапы (V.I.Labs, Texert, Trusteer, Marshal8e6, Sendio и т.п.). А в январе я уже писал, что Vector Capital приобрела немалую часть акций Aladdin.

Процесс пошел... Правда, пока не в России.

20.2.09

Интересное сравнение подходов к ИБ в России и США

Наткнулся на Компьютерре на интересное сравнение подходов двух вновь избранных президентов США и России к информационной безопасности. И добавить практически нечего.

Ролик по ИБ получил награду

Я уже писал о том, что ролик "Inadvertent Disclosure", который создали наши подразделения Cisco Security Programs Organization и Cisco Global Government Solutions Group, получил награду Crystal Award. И вот новая награда - International Film & Video Award. Теперь от New York Festivals 2009.

Интересно, что среди финалистов был еще один ролик по безопасности - от Ростелекома. Он был посвящен услуге IP VPN.

19.2.09

Информзащита создала новую компанию

Информзащита создала новую компанию - "Код безопасности", выведя в нее всех своих разработчиков. Очевидная мотивация простая - "Кесарю кесарево", т.е. каждая компания холдинга должна концентрироваться на своем направлении - сама Информзащита на интеграции, УЦ - на обучении, НАЦ - на аттестации, TrustVerse - на разработке своей ОС, SafeLine - на дистрибуции.

Хотя нельзя исключить и более глубинные мотивы. Выделение департамента разработки в отдельную компанию может привести к изменению в лучшую сторону финансовых показателей материнской компании (та же норма прибыли), что, в свою очередь, может позитивно отразиться на отношении потенциальных инвесторов, которые сейчас активно ищут, в кого вкладывать свои деньги.

18.2.09

Лучшие практики по борьбе с внутренними угрозами

Часто координационный центр CERT воспринимается многими специалистами, как организация, которая анализирует инциденты ИБ и публикует статистику в этой области. Отчасти это так. Но гораздо полезнее материалы, которые публикует CERT по совершенно иным вопросам. В частности недавно CERT опубликовал уже третью редакцию (версия 3.1) своего отчета "Common Sense Guide to Prevention and Detection of Insider Threats".

88-тистраничный отчет отвечает на многие интересные вопросы:
  • что такое внутренняя угроза и кто такой инсайдер (в контексте ИБ)?
  • насколько реальна внутренняя угроза?
  • можно ли остановить инсайдеров?
  • типы внутренних угроз (оказывается, утечки - не самая распространенная внутренняя проблема ;-)
  • каковы лучшие практики по борьбе с инсайдерами и внутренними угрозами?
В документе описаны 16 основных рекомендаций:
  1. Рассматривайте внутренние угрозы в контексте ИБ и управления рисками всей компании.
  2. Предусмотрите вопросы борьбы с внутренними угрозами в технических и организационных политиках ИБ.
  3. Проводите регулярно повышение осведомленности сотрудников.
  4. Мониторьте и реагируйте на подозрительное поведение, начиная с приема на работу.
  5. Предвосхищайте и управляйте негативными повседневными рабочими вопросами.
  6. Отслеживайте и защищайте оборудование.
  7. Внедряйте политики и практики управления паролями.
  8. Принцип разделения полномочий и минимума привилегий.
  9. Учитывайте внутренние угрозы при разработке ПО (SDLC).
  10. Обратите внимание на привилегированных пользователей.
  11. Контролируйте изменения в системе.
  12. Регистрируйте и мониторьте действия сотрудников.
  13. Эшелонированная оборона против удаленных атак.
  14. Деактивируйте учетную запись после увольнения сотрудника.
  15. Внедрите систему защищенного резервирования и восстановления данных.
  16. План реагирования на инциденты инсайдеров.

Нельзя сказать, что CERT придумал что-то новое, но они аккумулировали все разрозненные рекомендации в рамках единого подхода и опубликовали его.

ЗЫ. А вообще CERT ведет обширные исследование по части внутренних угроз и публикует их результаты на своем сайте.

17.2.09

ИБ в условиях кризиса

"Желание быстро сократить затраты и отчитаться перед руководством, как и практика равномерного снижения затрат по всем направлениям в компании, неэффективны и часто приводят к тому, что руководители служб ИБ закрывают важные долгосрочные проекты. Кажущиеся мало- или неэффективными проекты, которые могут принести существенную выгоду через год-другой, тоже лучше не сокращать. Это искушение надо побороть, т.к. вы можете оказаться в условиях, когда, вернувшись в нормальное русло, вам придется начинать все с нуля, что потребует еще больших затрат, чем до кризиса".

Специально для Bankir.Ru я написал статью, посвященную тому, как службам информационной безопасности позиционировать себя в условиях непростой экономической ситуации и как защитить себя от обрезания бюджетов, людей, проектов.

16.2.09

Как отечественные компании на практике выполняют закон о ПДн

Infowatch запустил собственный блог. Очень интересные заметки и наблюдения по ситуации с утечками различных видов информации и тайн. Одно из интересных исследований посвящено тому, как выполняются требования нового закона "О персональных данных" в части прав граждан на получение информации. Очень показательное исследование...

Новости про персданные

По последней информации, вторая версия документов по персданным будет доступна в апреле. Из 4-ки коренные преобразования коснулись двух творений - "рекомендаций..." и "основных мероприятий...". Документы будут выложены на сайт ФСТЭК!!! Неслыханное дело. Если они еще проведут их через МинЮст и их подпишет директор ФСТЭК, а не его зам, то наступит хана - они станут обязательными ;-(

14.2.09

13.2.09

Нестандартный маркетинг по ИБ

Время стандартных маркетинговых & рекламных коммуникаций прошло. Сегодня в моде совершенно иные подходы к рекламе своей продукции. Для Cnews я готовил прошлым летом статью с обзором новых маркетинговых ходов - блоги, игры, фан-клубы, wizard'ы и т.д. Одним из инструментов, которым охотно пользуются компании, является YouTube.

Я уже размещал ролик про Джеймс Бонда. И вот новое творение на YouTube ;-)



А завтра будет еще один прикольный ролик ;-)

Новый список сертификатов ФСТЭК

На сайте ФСТЭК опубликовали новый список сертификатов, который не обновлялся с прошлого апреля. Из интересных вещей хочу отметить две:
  1. В списке помимо класса сертифицированного изделия теперь стали указывать класс ИСПДн, в которой можно использовать данное средство защиты. Причем это сделано и для уже выданных сертификатов, так что можно сделать вывод, что этот текст врядли повторен и в самом сертификате. Это скорее рекомендация ФСТЭК. Хотя я не до конца понимаю, почему МСЭ 3-го класса рекомендуют использовать в ИСПДн 2-го класса включительно, хотя те же самые "Рекомендации..." из четверокнижия говорят, что МСЭ 3-го класса может использоваться в ИСПДн 1-го класса.
  2. В конце списка есть примечание: "При необходимости применения в информационных системах обработки персональных данных средств защиты информации от несанкционированного доступа и средств межсетевого экранирования, у которых отсутствует сертификация на соответствие требованиям руководящего документа «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (1999 г.), оператором по согласованию с ФСТЭК России может приниматься решение о применении указанных средств защиты информации в информационных системах обработки персональных данных". Из этого пункта можно сделать вывод, что сертификация НДВ нужна только для средств защиты и то не всех ;-)

12.2.09

УРСА Банк нарушил закон о ПДн

УРСА Банк нарушил закон 152-ФЗ «О персональных данных». В прокуратуру Новосибирской области направлены материалы по результатам проверки ОАО «УРСА Банк» в сфере обработки персональных данных для решения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП в отношении указанного юридического лица, а также должностных лиц.

Причина такого поворота дел непонятна – то ли сознательный или обиженный гражданин попался, то ли происки конкурентов. Но факт есть факт.

11.2.09

Тест на CISM

На сайте ISACA размещен тест, который позволяет вам проверить себя, насколько вы подходите к сдаче теста на статус CISM (Certified Information Security Manager). Считается, что он, в отличие от CISSP, больше подходит руководителям служб ИБ.

Вопросы теста разбиты на 5 частей:
  • Information Security Governance, т.е. ИБ в контексте корпоративного управления
  • Information Risk Management
  • Information SecurityProgram Development
  • Information SecurityProgram Management
  • Incident Management and Response.

Сдав тест "с ходу", я заработал 70%. Результаты высветили те слабые места, которые я и так знал - управление рисками (64%) и управление инцидентами (43%). Причем последнее касалось в первую очередь BCP, чем я никогда не занимался. По части Governance у меня 73% правильных ответов, разработка программы ИБ - 78%, а управление программой - 83%.

PS. Для себя я понял, что если чуть-чуть подготовиться, то я смогу сдать на CISM ;-) Но вот зачем?

10.2.09

Концепция аудита ИБ от ФСТЭК

Совершенно случайно наткнулся на сайте ФСТЭК на проект "Концепции аудита ИБ систем информационных технологий и организаций", который разработан НПФ Кристалл (они же основные разработчики стандарта Банка России по ИБ).

Дословно я не вчитывался, но беглый просмотр документа показывает, что читать западные стандарты у нас научились. Везде идут отсылки на стандарты BSI (PD 3003, 3004), ISO 17799, CoBIT, ФЗ "Об аудиторской деятельности", стандарты аудита российской коллегии аудиторов, федеральные правила аудиторской деятельности, цикл PDCA и т.п.

В общем, документ выглядит очень нестандартно для ФСТЭК, которая очень редко использует не то что западный опыт, но и уже принятые российские нормативные акты не особо учитывает.

Документ был разработан еще в 2004 году, но до сих так и не принят ;-(

9.2.09

Безопасность персданных по версии Великобритании

Британский институт стандартов (BSI), известный своими стандартами по управлению ИБ, опубликовал на своем сайте проект стандарта BS 10012 "Specification for the management of personal information in compliance with the Data Protection Act 1998", описывающий рекомендации по защите персональных данных.

Этот документ, все пункты которого привязаны к классическому циклу PDCA, в отличие от документов российских регуляторов, не предписывает и не указывает, как конкретно вы должны защищать персональные данные вплоть до используемой длины пароля. Скорее они дают общие и здравые рекомендации по эффективному управлению ПДн.

В частности, BS 10012 увязан с политикой управления рисками, учитывает сбор персданных через Интернет (в Интернет-магазинах и т.п.), упоминает про ситуацию, когда ПДн собираются третьей стороной от имени физлица, рекомендует проводить мониторинг и регулярный аудит ИСПДн и т.п.

ЗЫ. Стандарт доступен для всех зарегистрировавшихся на сайте.

ЗЗЫ. А меньше месяца назад свой проекта защиты ПДн опубликовал NIST США.

4.2.09

Новый журнал по безопасности

В России стал издаваться новый журнал по безопасности - "Директор по безопасности". Вчера открылся их сайт.

Новый Интернет-ресурс по защите информации ограниченного доступа

В январе 2009 года начал работу специализированный тематический сайт по защите информации ограниченного доступа в рамках корпоративного портала компании "Информзащита". Посетители сайта www.zki.infosec.ru могут получить квалифицированную консультацию специалистов компании «Информзащита», задав свои вопросы Михаилу Емельянникову, ведущему эксперту по теме «защита информации ограниченного доступа», а также техническим специалистам компании, занятым в проектах по созданию защищенных систем, ознакомиться с публикациями и новостями, получить информацию о продуктах и решениях по защите персональных данных и установлению режима коммерческой тайны.

2.2.09

Операторы большой тройки забили болт на регуляторов по персданным

Еще когда только вышел ФЗ-152, а затем и первая версия четверокнижия (сейчас выпущена вторая версия), многие операторы связи (и не только) справедливо возмутились, т.к. для них ФЗ-152 невыполним и надо что-то делать. И вот что-то сделали ;-)

В Ведомостях опубликовали статью, согласно которой Инфокоммуникационный союз выбрал разработчика стандарта для всей телекоммуникационной отрасли. Им стала компания ReignVox, созданная осенью 2008 года двумя интеграторами - Bell Integrator и РНТ.

Эта очень интересная новость и вот почему:
  1. По словам представителя Инфокоммуникационного союза ReignVox выбрали по совокупности параметров - наличие лицензий, опыт работы и квалификция персонала. Какой опыт может быть у компании, созданной осенью прошлого года, непонятно. Или точнее все понятно ;-(
  2. По словам представителя Инфокоммуникационного союза поучаствовать в разработке стандарта предложили компаниям, специализирующимся на защите ПДн. Правда Информзащита, Infowatch, LETA, Perimetrix и др. таких предложений не получали. Кто же тогда у нас специализируется на защите?
  3. Разработка стандарта начнется с обследования МТС, Мегафона и Вымпелкома. Цена контракта - около 500000 долларов. Есть за что бороться и становится понятно, почему был выбран абсолютный новичок на рынке, а не серьезная компания.
  4. ReignVox будет разрабатывать технический стандарт, который видимо заменит шестикнижие ФСТЭК/ФСБ, но только для операторов связи. Остальным заказчикам по-прежнему придется работать с текущими творениями регуляторов.
Очень интересная ситуация возникает. Вместо того, чтобы поменять документы ФСТЭК, операторы будут использовать свой стандарт. Понимая, что поменять что-то в такой структуре, как ФСТЭК, невозможно, они решили пойти своим путем, повторив опыт ЦБ, РЖД, Газпрома, которые забили на документы ФСТЭК и стали делать собственные стандарты и нормативные документы по ИБ. Решение может и правильное, но показывает в какой ... находятся у нас законодатели по ИБ.

ЗЫ. В Ведомостях есть комментарий от представителя LETA-IT, который говорит, что т.к. сегодня операторы вынуждены получать письменное согласие от каждого абонента то, якобы, новый стандарт позволит обойти эту проблему. Но... ReignVox разрабатывает технический стандарт, а требование получения письменного согласия прописано в ФЗ-152, которое пока никто менять не собирается.

1.2.09

Бизнес-модель информационной безопасности

ISACA опубликовала достаточно интересный документ под названием "An Introduction to the Business Model for Information Security", который описывает бизнес-модель информационной безопасности. Всегда восхищался людьми, которые могут графически просто изобразить сложную задачу или процесс. Представленная ISACA (правда они сами ее позаимствовали) модель очень наглядно иллюстрирует различные аспекты ИБ в компании и ее связь с бизнесом.



Мы имеем всего 4 ключевых узла - организация, люди, процессы и технологии. Именно то, что и определяет ИБ в любой организации. Связи между ними, если посмотреть на картинку, это те "проблемы", о которых многие просто не думают или забывают - человеческий фактор, культура ИБ, архитектура ИБ, корпоративное управление ИБ и т.п.

Модель очень хорошая, но я бы все-таки ее улучшил и добавил бы к ней четыре замкнуто-циклических связи к каждому из основных узлов (ну или рассматривал бы эти темы внутри каждого узла). Для узла "люди" эту связь я бы назвал психология безопасности или психология отношения к рискам. Для узла "технологии" речь разумеется идет о развитии самих технологий ИБ. Для узла "организация" отдельно надо говорить о финансовой составляющей, т.к. мало понимать бизнес-цели предприятия, нужно еще и уметь говорить о безопасности на языке денег (NPB, IRR, PbP, пресловутый ROI и т.п.). Ну а для узла "процессы" обязательно надо не забыть про систему качества.

ЗЫ. Сам документ можно скачать с сайта ISACA.