31.3.09
Новый нормативный документ Банка России по обеспечению непрерывности деятельности
30.3.09
27.3.09
26.3.09
Как безопасность влияет на бизнес - реальные цифры
Например, в январе этого года американская финансовая компания Heartland Payment Systems, Inc пострадала от вредоносного когда и десятки миллионов ее клиентов стали жертвами мошенничества. Что в итоге? Падение стоимости акций, не говоря уже о судебном преследовании.
Другой пример - компания Vonage. Агент по продаже сохранил информацию всего о двух клиентах в записных книжках Google (Google Notebook). Результат на картинке:
Возможно когда-то и в России примут закон, обязывающий сообщать о нарушении прав клиентов и тогда у нас будут чуть больше думать о безопасности.
25.3.09
Детям до 18-ти скоро запретят ходить на Mail.ru
- Нецензурную брань.
- Рекламу наркотиков, алкоголя, табака, пива, азартных игр и широкого спектра противоправных действий.
- Провокации детей против их жизни и здоровья.
- Оправдание жестокости и насилия.
- Пропаганду отрицания семейных ценностей.
- Призывы к совершению уголовно наказуемых деяний или их оправдание.
- Порнографию.
- И т.п.
24.3.09
Russian CSO Summit II - день второй
СофтИнформ запомнился громогласным голосом (даже у меня такого нет - для тех, кто меня слышал ;-) Но на конкретные вопросы, связанные с законностью применения разработанных ими DLP-решений, докладчик ответить не смог. Ну и по ряду замечаний, высказанных им в ходе дальнейших выступлений, я понял, что их основная аудитория - службы безопасности (не информационной), которым все эти юридические заморочки "до лампочки". Удивило меня то, что представить СофтИнформа похоже впервые услышал (на практике он, как утверждает, вообще такого не видел), что служба ИБ может и не подчиняться СБ, а входить в состав ИТ или даже быть с ними на одном уровне. Он чуть ли не с пеной у рта доказывал, что это глупость несусветная.
Очень понравилось выступление Алексея Щербакова, ИТ-директора "ВостСибСтрой". Он прямо и без прекрас рассказал, как сам строил службу ИБ у себя в девелоперской компании, с какими проблемами столкнулся и как решал их. Самокритично и по делу. Уважаю таких людей ;-) Наверное он был один из немногих, кто готов был прямо говорить о своих неудачах.
Представитель Qualys просто порадовал своим выступлением. И по делу и с элементами юмора. А уж то, что нероссиянин очень неплохо говорил по русски, уже отлично. У иностранцев, "отвечающих" за Россию, это не часто встретишь.
Кен Яворски, рассказывал про аутсорсинг. Интересно, но... очень уж в его обоих докладах сквозило превосходство ;-( Такое впечатление, что он, пуп Земли и приехал учить "русских медведей", которые отстали в развитии технологии ИБ лет на 5-7 ;-(
Ну а завершал конференцию круглый стол, который вел я ;-) Посвящен был аутсорсингу. Точки зрения были высказаны разные, преимущественно, пессимистичные. И Владимир Наймарк из PwC, и Евгений Климов из "МеталлоИнвест", и Людмила Павленко из "МетИнвест" (Украина), и ваш покорный слуга, все высказывались либо жестко "нет" против аутсорсинга, либо приводили много моментов, мешающих активному продвижению аутсорсинга ИБ в России. Дмитрий Устюжанин (Вымпелком) приводил примеры применения аутсорсинга ИБ в России (в т.ч. и в своей компании), но это были точечные сценарии и их было все-таки немного. Александр Антоненков (КАМАЗ) высказал нестандартную идею - сначала получать услуги ИБ, а потом, если они были успешны и принесли пользу бизнесу, платить за них аутсорсеру. Особенно важно это в условиях кризиса, когда предприятия реального сектора экономики не имеют средств (именно сейчас) на оплату таких услуг, но в них нуждаются и готовы платить после выхода из кризиса. Неожиданная позиция... И вначале я думал, что никто из аутсорсеров по такой схеме у нас не работает. Ан нет. Есть такие. Александр назвал Элвис+, как пример такой компании. Делать такие шаги в наше непростое время... вызывает уважение. В целом же все сошлись на том, что аутсорсинг ИБ сегодня - это вопрос доверия и партнерства. Без доверия нет ничего.
И хотя Russian CSO Summit II собрал меньше людей, чем проходивший в тот же день IDC IT Security Roadshow, на нем была более камерная и душевная обстановка, более живое общение, больше вопросов... Второй раз участвую в данном мероприятии и мне во второй раз оно нравится, чего не всегда скажешь о других крупных мероприятиях по ИБ в России.
ЗЫ. Александр Антоненков (КАМАЗ) приглашал всех на сайт КАМАЗа по ИБ - http://itsec.kamaz.ru/
Сблежение не целесообразно?! Информзащита и ОКБ САПР не сошлись характерами
В этом собственно и весь российский рынок проявляется ;-( При полном отсутствии прозрачности большинства компаний, низком уровне менеджента, отсутствии четкой стратегии и т.п. влезать в M&A-сделки не самое лучшее решение. Особенно учитывая давнюю "любовь" двух конкурентов - Информзащиты и ОКБ САПР, доходившую ранее до "битья посуды" и "попытки лишения родительских прав".
Я еще в ноябре писал, что причина слияния таких компаний очень неочевидна. Видимо отсутствие четкого понимания этих причин и привело к печальному финалу.
ЗЫ. На Западе я что-то не припомню, когда объявленная сделка срывалась по внутренним причинам, аналогичным нынешней. Из-за запрета регуляторами было, но из-за разницы в уровне культуры?.. Остается только гадать, у кого из двух компаний уровень выше ;-)
ЗЗЫ. Ошибки в заголовке не мои - это из текста интервью одного из участников сделки.
23.3.09
Russian CSO Summit II - день первый
Так удачно сложилось, что выступающий после нашей секции Харлан Волд, CSO Renaissance Capital практически полностью повторил то, что говорил я, но уже применительно к своему практическому опыту.
Эта презентация отчасти повторяет то, что я уже публиковал ранее. Но сейчас я систематизировал презентацию, удалил рекламу моей компании, добавил немного новой информации. В виде статьи эта тема была мной раскрыта в статье на bankir.ru.
Новое постановление о Роскомнадзоре
В первом пункте положения стало явно прописано, что Роскомнадзор "является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных". Видимо, чтобы в связи с частой сменой названия вопросов больше не возникало, кого же имеет ввиду ФЗ-152.
ЗЫ. Как и в прошлой редакции 419-го постановления Роскомнадзор не имеет прав проводить плановые проверки.
20.3.09
Защита ключевых систем информационной инфраструктуры
19.3.09
О трактовке законодательства по персданным
Однако законодательство надо читать чуть более внимательно. Во-первых, 419-е Постановление Правительство в основном определяет права и полномочия Роскомндазора в области связи. В области же персданных это Постановление отсылает нас к ФЗ-152 (п.5.1.1.4). А этот закон в п.2 ст.23 четко говорит, что Роскомнадзор "рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение". Т.е. он только работает по сигналам со стороны субъектов ПДн. Дополнительно в п.3 ст.23 приведен закрытый перечень прав Роскомнадзора, среди которых плановые проверки вообще не значатся. Это частная норма права, которая перекрывает общую, прописанную в ФЗ-134, не говоря уже о том, что ФЗ-152 был принят после ФЗ-134. Единственный случай, когда Роскомнадзор может инициировать собственную проверку, - это проверка уведомления со стороны оператора ПДн. Но это не является плановой проверкой, прописанной в ФЗ-134.
Какой вывод можно сделать из этого? Что не стоит немедленно рваться послать уведомление в Роскомнадзор. Лучше внимательно почитать ст.22 ФЗ-152 и понять, что ситуаций, когда уведомление посылать надо, не так уж и много. И, конечно, стоит привлечь грамотных юристов по гражданскому законодательству, чтобы они разъяснили многие терминологические тонкости, вытекающие из таких терминов, как, например, "договор" и т.п.
Дополнительно хочу заметить, что любые постановления правительства, не говоря уже о приказах федеральных органов исполнительной власти (которые имеют неочевидное применение за рамками самого принявшего их ведомства), являются актами подзаконными, которые не могут противоречить или нарушать федеральное законодательство.
18.3.09
Запущен новый блог по персданным
17.3.09
Документы ФСБ по персданным
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
16.3.09
Курс по персональным данным в ИБД АРБ
В сентябре я уже читал аналогичный курс в ИБД и он вызвал большой интерес у слушателей. А с тех пор у нас появилось немало изменений - и 687-е постановление, и документы РСКН, и новая пока невыпущенная вторая редакция четверокнижия. Так что курс должен быть интересным. К тому же организаторы, понимая, что не все могут приехать очно (особенно в регионах), будут использовать онлайн-технологии.
14.3.09
Как заработать на ботнетах? Советы от ИБ-компании!
Исследование является классическим пособием для начинающих создателей бот-нетов, построенном по принципу "вопрос-ответ". Сколько стоит создать бот-нет? Сколько можно заработать на бот-нете? Как обналичить деньги, полученные от бот-нета? Как заказать DDoS-атаку через бот-нет? Имеет ли смысл делать бот-нет на заказ? Можно ли купить готовый бот-нет? Сколько живет бот-нет?
А есть ли в "исследовании" хоть что-нибудь про обнаружение и подавление бот-нетов? Нет. Ни слова ;-( Спрашивается, зачем компании, якобы специализирующейся на расследовании инцидентов и борьбе с DDoS-атаками, публиковать материал о том, как на этих самых атаках делать деньги? Ну не для того же, чтобы увеличить число ботнетов, затем число пострадавших, и как потенциальное следствие, число своих клиентов...
ЗЫ. Про русский язык официального отчета я уже не говорю. Оборванные на середине предложения, незаконченные абзацы...
12.3.09
500 стандартов ИБ, которые потрясли мир
Программа:
- Законодательство РФ в области информационной безопасности. История становления и развития.
- Основы права или как обеспечить ИБ, не ущемляя прав граждан и юридических лиц? Пример: легитимность просмотра электронной почты сотрудников. Точка зрения сотрудника, безопасника и юриста.
- Регуляторы российского рынка ИБ – ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д. Кто и за что отвечает?
- Виды тайн и защищаемой информации. Персональные данные, коммерческая тайна, государственная тайна, служебная тайна, банковская тайна, тайна связи и т.п.
- Классика отечественного законодательства в области ИБ. Трехглавый закон. Руководящие документы ФСТЭК и ФСБ. Техническое регулирование. Лицензирование, сертификация и аттестация. ГОСТы по ИБ.
- Отечественное законодательство в области защиты коммерческой тайны. Федеральный закон. Рекомендации ФСТЭК.
- Отечественное законодательство в области защиты персональных данных. Федеральный закон. Постановление Правительства. Нормативные документы ФСТЭК.
- Отечественное законодательство в области защиты конфиденциальной информации. Рекомендации/требования ФСТЭК (СТР-К).
- Отечественное законодательство в области защиты ключевых систем информационной инфраструктуры. Рекомендации/требования ФСТЭК.
- Отечественное законодательство в области защиты банковской тайны и автоматизированных банковских систем. Стандарт Банка России по ИБ и другие нормативные акты ЦБ.
- Законодательство в области защиты операторов связи.
- Международное законодательство в области ИБ, обязательное или рекомендуемое к применению в России (PCI DSS, ISO 2700x, Базель II, SOX, ISM3, Кодексы корпоративного поведения, COSO ERM, ITIL, COBIT, ISO 20000 и т.п.)
- Наказание за несоблюдение законодательства в области информационной безопасности. Кодекс об административных правонарушениях, Уголовный Кодекс, Трудовой Кодекс и т.п.
- Легитимность многих правовых актов в области ИБ. Надо ли вообще их соблюдать с точки зрения закона?
- Парафраз о правоприменительной практике или права ли пословица "Закон, что дышло…"?
- Я рассматриваю законодательство не только с точки зрения деятельности службы ИБ, но и с точки зрения регулятора, работодателя и работника. Т.е. учитываю интересы всех сторон, которые участвуют в законодательной деятельности.
- Я исхожу из того, что основополагающим нормативным актом в области ИБ является вовсе не трехглавый закон и что это законодательство по данному направлению "не висит" в воздухе, а тесно увязано с множеством других документов - Конституцией, Кодексами, Постановлениями Правительства и Указами Президента, и даже... с Всеобщей Декларацией о правах человека, Окинавской Хартией глобального информационного общества и т.п.
- Я не тупо следую рекомендации соблюдать все, что выпушено нашими регуляторами, а рассматриваю законы с критической точки зрения. Какие ошибки и ляпы в них допущены, какие противоречия есть, какие нестыковки с другими законами?.. Какие из требований являются обязательными, а какие носят характер рекомендаций, необязательных к исполнению? Какие документы можно не выполнять, несмотря на их «обязательность»?
- Ну и систематизация получилась неплохая ;-)
11.3.09
Мифы 19-21
Сравнение Linux и Windows как обычно вызвало определенную "дискуссию" ;-)
10.3.09
Как обманывают клиентов производители средств защиты - 2
1. Здесь должно было быть выступление компании IBM ISS. Но последовал запрет ;-(
2. Алексей Лукацкий - бизнес-консультант по информационной безопасности Cisco - "Почему ИБ-компании, зная правду, врут в глаза своим клиентам?"
"Парадоксально, но факт - многие компании, которые занимаются безопасностью, своей основной целью считают не безопасность своих клиентов. На первом месте для них деньги и только деньги, а безопасность - только инструмент зарабатывания. Для этого все цели хороши. Можно утверждать, что DLP-решения обнаруживают утечки данных. Можно утверждать, что антивирус обнаруживает все, даже неизвестные вирусы. Можно утверждать, что число атак растет по экспоненте и без средств сетевой безопасности не обойтись. Можно утверждать, что предлагаемая система защиты невзламываема. Можно утверждать, что система корреляции поддерживает все известные средства защиты. Можно ссылаться на сертификат, как свидетельство вседозволенности.
А можно развенчать все эти, а также другие мифы, звучащие из уст ИБ-компаний. Что мы и сделаем на секции."
3. Алексей Смирнов - независимый эксперт - "Торговля страхом и ложь во спасение: как и зачем ИБ обманывает бизнес?"
"Что такое "торговля страхом" и что такое "ложь во спасение". Первое - примерно понятно и в особых объяснениях не нуждается: попытка заработать денег на вымышленных или преувеличенных угрозах. Что же является "позитивной" стороной обмана? Иногда приходится "пугать" потому, что объяснить реальную опасность неспециалисту сложно, да и не всегда он настроен слушать. Иногда ложь необходима для развития перспективных технологий - да, проблемы данного конкретного заказчика порой решаются проще, но мы должны думать не только о его проблемах, но и о более глобальных задачах. В конце концов, каждый из нас, кто по-настоящему любит свою работу - творец, и бывает так, что совершенно не из меркантильного интереса мы строим систему "на вырост", хотя с точки зрения бизнеса достаточным, а значит и более оправданным было бы дешевое и "некрасивое" решение, даже с учетом его короткого жизненного цикла и необходимости последующего рефакторинга."
6.3.09
ЗЫ. Строго не судить ;-) Не Пушкин я ;-)
Комиксы по безопасности от Cisco
Все лишний раз подтверждает тот факт, что стандартными рекламными механизмами, клиента уже не удивишь ;-)
5.3.09
Безопасники в кадровый резерв не входят
PCI Council запускает новый ресурс для продвижения PCI DSS
4.3.09
S.N.Safe продалась
Достаточно забавно выглядят упоминания уникальности технологии S'n'S по отлову вредоносных програм не по сигнатурам, а по поведенческим особенностям. К слову сказать, компания Okena, которую мы купили в 2003-м году, еще в 2000-м году в своих решениях использовала именно отслеживание аномальной активности программ и процессов, а не сигнатуры. Ну а про завоевание через 3-4 года не только российского, но и мирового рынка, я вообще умолчу. Хотя иных слов при таких сделах и не ждут ;-)
PS. Переговоры о сделке с S.N.Safe&Software также вел венчурный фонд ВТБ.
2.3.09
В Питере безопасности больше нет
Предельные нормативы по ИБ следующие:
- проверка одного АРМ на вирусы - 7.98 руб. в месяц
- Сопровождение механизма обновления антивирусного ПО, установленного на рабочих станциях пользователей с сервера локальной сети - 207.78 руб. в месяц на один сервер
- Централизованное администрирование антивирусного ПО пользователей с администраторской консоли - 10.39 руб. в месяц на один АРМ
- Установка и настройка программного МСЭ - 575.37 руб. в месяц на один сервер
- Установка и настройка аппаратных МСЭ - 359.6 руб. в месяц на одно устройство
- Системное сопровождение аппаратных МСЭ - 359.6 руб. в месяц на одно устройство
- Системное сопровождение программных МСЭ - 3020.7 руб. в месяц на сервер с одним процессором
- Настройка и техническая поддержка аппаратных брандмауэров - 143.85 руб. в месяц на одно устройство. Видимо для разработчиков документа есть большая разница между брандмауэром и МСЭ!
- Установка, настройка и запуск в эксплуатацию аппаратно-программных средств защиты информации (средств защиты от несанкционированного доступа, средств криптографической защиты информации, средств ограничения доступа) - 59.94 руб. в месяц на один АРМ
- то же самое, но для МСЭ - 299.67 руб. (чем это отличается от пунктов выше непонятно).
- Сопровождение аппаратно-программных комплексов средств защиты информации (мониторинг работы, сбор статистической информации, предварительный анализ, оценка эффективности функционирования, прогнозирование и планирование, разработка предложений) - 1510.35 руб. в месяц на одно устройство
- Тестирование средств защиты информации с выдачей протокола, выявление и исправление ошибок в его работе - 719.21 руб. в месяц на одно устройство
- Консультирование администраторов безопасности по вопросам работы средств защиты информации - 359.73 руб. в месяц на одного консультанта.
Спрашивается, кто и как будет работать за такие деньги?