29.6.09

Информационная безопасность по Дарвину

2 с лишним года назад я написал статью "Звериный оскал информационной безопасности". И совсем недавно с удивлением обнаружил, что идея, лежащая на поверхности, пришла не только мне. На сайте "Дарвиновская безопасность" можно найти ссылки на различные книги, публикации и материалы, которые показывают как такие дисциплины, как экология, биология, психология, палеонтология, палеология, вирусология и т.п. находят свое применение в борьбе против различных угроз - от терроризма до природных катастроф. Может применяться данный подход и к информационной безопасности.

На YouTube выложена лекция по данной теме (на 1ч. 18 мин.).

26.6.09

Уехал в Китай... Скоро вернусь...

В Китае набирают 10000 Интернет-цензоров для контроля "плохих" сайтов. И это логичный шаг для страны с населением свыше миллиарда человек. Вместо того, чтобы использовать технические решения, гораздо дешевле нанять нужное количество людей. Этот факт лишний раз доказывает, что вопросы безопасности можно решать не только и не столько техническими мерами.

Поеду, съезжу. Может возьмут. Тогда вернусь таким...

25.6.09

Новый портал по теме PCI DSS

Digital Security открыла портал "PCI DSS", который должен стать площадкой для аккумулирования и обсуждения информации о стандарте, которая была бы интересна и полезна как тем, кто только начинает разбираться в его тонкостях, так и специалистам, имеющим большой опыт работы с PCI DSS. Портал включает в себя непосредственно информацию о стандарте, различные обзоры, статьи и иные материалы, подготовленные профессионалами в области PCI DSS, и, естественно, обсуждение всевозможных вопросов, касающихся стандарта, в блоге и на форуме.

ЗЫ. Чуть меньше месяца назад аналогичный портал запустила "Информзащита".

24.6.09

Об уровне коррупциогенности документов по персданным

Вступив в должность, В.В. Путин достаточно много стал говорить о борьбе с коррупцией. И слова так бы и остались словами, если бы премьер-министр Постановлением Правительства от 5 марта 2009 г. №196 "Об утверждении методики проведения экспертизы проектов нормативных правовых актов и иных документов в целях выявления в них положений, способствующих созданию условий для проявления коррупции" не утвердил упомянутую в названии методику.

В тот же день были утверждены "Правила проведения экспертизы проектов нормативных правовых актов и иных документов в целях выявления в них положений, способствующих созданию условий для проявления коррупции" (Постановление Правительства от 5 марта 2009 г. №195).

Согласно этим документам все новые нормативные акты должны проходить через проверку на коррупциогенность. На свой страх и риск я взял методику и прошелся по ней с текущей версией "четверокнижия". Даже беглый и поверхностный анализ показывает, что 11 из 17 приведенных "коррупционных" факторов могут быть найдены в требованиях по безопасности. Чтобы не быть голословным, приведу их.

Факторы, связанные с реализацией полномочий органа государственной власти
  • Установление неопределенных, трудновыполнимых и обременительных требований к организациям.
  • Отсутствие четкой регламентации прав организаций.
  • Возможность необоснованного установления исключений из общего порядка для организаций по усмотрению органов власти
  • Установление общеобязательных правил поведения в подзаконном акте в условиях отсутствия закона
  • Употребление неустоявшихся, двусмысленных терминов и категорий оценочного характера.

Факторы, связанные с правовыми пробелами
  • Отсутствие порядка совершения органами власти определенных действий либо одного из элементов такого порядка
  • Отсутствие превентивных антикоррупционных норм
  • Отсутствие норм о юридической ответственности служащих, а также норм об обжаловании их действий (бездействия) и решений
  • Отсутствие норм, обеспечивающих возможность осуществления контроля, в том числе общественного, за действиями органов власти
  • Отсутствие норм, предусматривающих раскрытие информации о деятельности органов власти и порядка получения информации по запросам граждан и организаций

Факторы системного характера
  • Противоречия (нормативные коллизии), в том числе внутренние, между нормами, создающие для органов власти возможность произвольного выбора норм, подлежащих применению в конкретном случае.
Если заявления о том, что новая версия четверокнижия не отличается от первой по сути и в ней устранены только орфографические ошибки и ряд неточностей, то мне не совсем понятно, как новые требования пройдут проверку по упомянутой выше методике. Более того, согласно Постановлению Правительства от 17 марта 2009 № 242 "О внесении изменений в некоторые акты Правительства Российской Федерации" ФСТЭК должна публиковать все новые документы на своем сайте.

23.6.09

О целях и сроках хранения ПДн

Занимаюсь персданными часто возникает вопрос о том, как правильно определить цели и, что не менее важно, сроки хранения персональных данных? Если это не сделать, субъект ПДн, пришедший в организацию, может затем послать ей запрос с просьбой представить доказательства, что после его ухода его ПДн уничтожены. Какой смысл тогда фиксировать эти данные?

Как решить этот конфликт? Для этого у нас есть два решения Росархива (помимо сроков прописанных в ТК, НК и ряде других федеральных законов):
  • "Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения" (утвержден решением Росархива 06.10.2000 №153) (ред. от 27.10.2003)
  • "Примерный перечень документов, образующихся в деятельности кредитных организаций, с указанием сроков хранения" (утв. Росархивом 10.03.2000)
Именно они определяют сколько должны храниться те или иные типы документов, в т.ч. и содержащие персональные данные. Например, книга учета посетителей должна храниться не менее 3-х лет. Столько же и разрешения на допуск к информации ограниченного доступа. Документы по выдаче кредитов необходимо хранить 5 лет, а отклоненные заявки на кредиты - 1 год. И т.д.

Используя эти документы и ссылаясь на них в положении о защите персональных данных, оператор может защитить себя от большого количества проблем в будущем.

ЗЫ. Это фрагмент из курса "Что скрывает законодательство о персональных данных".

21.6.09

Еще один Интернет-ресурс по ПДн

Янаткнулся на новый Интернет-ресурс по тематике персональных данных, запущенный НПО Эшелон. Ничего сверхинтересного, исключая, пожалуй, список средств защиты, соответствующих требованиям ФСТЭК. Вы указываете нужный вам класс ИСПДн и получаете список подходящих средств защиты. Главное, чтобы список регулярно актуализировался - в противном случае грош ему цена. Сразу хочу отметить, что пробежав наскоро этот список, я понял что он неполный ;-( Поэтому ориентироваться на него не стоит.

Из забавного на этом портале - это форум. Вопросов и ответов там немного, но есть истинные перлы. Если это находка служба маркетинга Эшелона, то я им апплодирую. Итак вопрос первый: "Мой бывший молодой человек оставил себе на память мое домашнее видео (персональные данные)? Как можно его, злодея, сильно напугать? И он больше такое не делал с персональными данными?". Ответов на вопрос пока нет.

Второй потрясший меня вопрос: "Больно ли рожать, будучи девственницей?, или не больно?" ;-) Единственный ответ на этот животрепещущий вопрос по теме персданных: "Обидно".

ЗЫ. Еще один форум по ПДн - на сообществе практиков конкурентной разведки.

18.6.09

Новая версия курса по персданным

Я уже как-то писал, что я читаю курс по персданным в Институте банковского дела АРБ. Ближайший курс - 21-го июля. Учитывая появление новых сведений по данной тематике, я обновил программу курса и добавил в нее следующие темы:
  • расширен список примеров претензий со стороны регуляторов для разных отраслей (банки, операторы связи, ЖКХ, страховые компании и т.д.)
  • примеры реального нанесения ущерба по направлению ПДн
  • доменные имена и IP-адреса как персональные данные
  • сроки хранения различных типовы персональных данных в соответствие с российским законодательством (свыше 28 примеров типов ПДн)
  • бэкапы, архивы, регистрация доменов, сервис WHOIS с точки зрения ФЗ-152
  • ФЗ-152 как средство реализации DDoS-атак
  • класс ИСПДн 4 и обезличенные ПДн
  • новая информация по лицензированию деятельности по ТЗКИ и шифрованию. Мнения юристов, АРБ, ФАС и Госдумы
  • практика проверок регуляторами
  • основы ФЗ-294 в части госконтроля и надзора. Плюсы и минусы
  • экспертиза требований регуляторов в целях выявления в них положений, способствующих созданию условий для проявления коррупции.

17.6.09

IP-адрес - это персданные

Продолжая размышлять о персональных данных пришел к интересному, но опасному выводу о том, что доменное имя - это ведь тоже персональные данные, т.к. по нему можно идентифицировать владельца домена (если он физическое лицо). А чтобы сделать эти персданные общедоступными, необходимо получать письменное согласие субъекта ПДн. Развивая эту тему, статус персданных замечательно ложится и на статические IP-адреса, которые нередко закрепляются за отдельными гражданами, желающими иметь таковые адреса при доступе в Интернет или оказания каких-либо услуг. И вновь требуется получать письменное согласие на помещение этой информации в реестры регистраторов. Также под вопросом находится работа сервиса WHOIS...

ЗЫ. Вспомнил, что еще в 2003-м году Октябрьский суд г. Екатеринбурга вынес решение, в котором был такой пассаж "Сведения об IP- и MAC-адресах официально зарегистрированных пользователей сети Интернет относятся к коммерческой и служебной тайне компании-провайдера. Кроме того, в соответствии со ст. 6 Федерального закона от 20.02.95 № 24-ФЗ «Об информации, информатизации и защите информации» учетно-регистрационные данные относятся к персональным данным".

15.6.09

Дятлы Касперского ;-)

12.6.09

Будущее PCI DSS под вопросом?

На портале PCI Security за последнюю неделю было опубликовано пару интересных новостей, которые хорошо отражают процессы, происходящие на Западе по отношению к стандарту PCI DSS.

Ситуация очень похожа на то, что у нас происходит с персданными. Есть закон, есть технические требования, есть наказания. Но, во-первых, инцидентов с нанесением реального ущерба субъектам ПДн практически нет (раз-два и обчелся), а во-вторых, сокращения числа утечек ПДн пока не заметно. Базы (а именно это было толчком к созданию ФЗ-152) как продавали так и продают. К PCI отношение аналогичное. Мошенничества как были, так и остались. Так зачем нужен стандарт? Да еще и обязательный, за нарушение которого есть вполне конкретное наказание.

Именно эти вопросы задавались на заседании комиссии Сената США. Многие эксперты справедливо замечают, что соответствие ради соответствия никому не нужно. Тем более, что повторная оценка соответствия проходит только через несколько кварталов, а злоумышленники действуют все время между проверками. Налицо конфликт статических требований стандарта и динамических действий хакеров. Наличие же собственных специалистов по безопасности в небольших компаниях - роскошь, которую они не могут себе позволить. А таких компаний 99%. Если сюда приплюсовать первый судебный иск к аудитору (QSA) со стороны сертифицированной им процессинговой компании, то картина и вовсе выглядит нерадужно.

11.6.09

Business Impact Analysis и информационная безопасность

Вчера на конференции Business Continuity Russia выступал в секции по ИБ. Сделал доклад на тему "Business Impact Analysis и информационная безопасность", коий сюда и выкладываю. Разумеется, я рассматривал не всю названную тему, а только ее отдельные моменты. Моя задача была показать, что танцевать надо от бизнес-требований, а для этого без BIA не обойтись. Все остальное (управление инцидентами, мониторинг, выбор средств защиты, оценка рисков) уже вытекает из BIA.

Сайт по безопасности взломан

В Москве недавно проходило мероприятие PCI Moscow. Оно входило в серию семинаров, посвященных стандарту PCI DSS, организованных некоей западной компанией AKJ Associates Ltd. Организованные в Киеве, Каире, Таллине, Амстердаме, Мадриде, Йоханесбурге и других городах мира мероприятия, должны были показать всю важность стандарта PCI DSS для защиты информации о владельцах платежных карт. К слову сказать материалы московской конференции выложены на сайте организаторов.

Парадокс в том, что это сайт взламывают уже второй раз за прошедший месяц. Первый раз их сломали перед самим мероприятием - во второй декаде мая. И вот опять та же ситуация. В списке презентаций с конференции напротив материалов ISACA стоит необычное имя закачавшего их пользователя - HaCKeD Xx_DoGaN_xX & ßy 78uS. Это имя ведет на отдельную страницу, которая лишний раз подтверждает факт взлома.

10.6.09

2 новых портала по информационной безопасности

Сегодня маркетинговая активность многих ИБ-компаний плавно перетекает в Интернет - это практичнее, дешевле и выглядит инновационнее. Стало модно запускать порталы по тем или иным темам информационной безопасности.

И вот "Лаборатория Касперского" запустила новый портал - securelist.ru, ставший логичным продолжением и развитием порталов viruslist.ru и spamtest.ru. На сайте представлены такие разделы, как аналитические публикации, веблог, энциклопедия информационной безопасности, описания детектируемых объектов, а также глоссарий.

При этом портал планирует публиковать материалы не только сотрудников ЛК, но и приглашает всех специалистов разместить на нем свои материалы.

Также новый портал, посвященный проблемам кибербезопасности, запустила компания ТТК. По мнению этого, одного из крупнейших операторов связи, это первый в Рунете ресурс, на котором всерьез обсуждаются проблемы противодействия киберпреступлениям. Специалисты имеют возможность обменяться мнениями по интересующим по данной проблеме вопросам, познакомиться с мнениями ученых, практиков, сотрудников правоохранительных органов и специальных служб, представителей законодательной и исполнительной власти, сотрудников телекоммуникационных компаний и провайдеров услуг.

9.6.09

Программа курса "Измерение информационной безопасности"

30 июня в Институте банковского дела АРБ я буду читать свой новый курс "Измерение эффективности информационной безопасности" (очно и онлайн). Конечно сложно будет в отведенное время рассказать все, но я буду придерживаться следующей программы:

1. Для чего нужно измерение эффективности ИБ?
  • Можно ли измерять ИБ?
  • Зачем нужно измерять ИБ?
  • Качественное и количественное измерение?
  • Все ли измеряется деньгами или имеют ли право на существование нефинансовые методы измерений?
  • Почему так сложно измерять ИБ?Аудитория для результатов измерений
  • Мифы об измерении ИБ
2. Метрики ИБ
  • Что такое метрики ИБ?
  • Различные классификации метрик
  • KPI, PI, KRI, CSF… В чем разница?
  • База метрик
  • Где брать исходные данные для метрик
  • Как выбрать метрики?
  • Метрики и время
  • Кто выбирает метрики?
  • Сколько метрик нужно?
  • Тестирование метрик
  • Пересмотр метрик
  • Как презентовать метрики?
3. Программа управления оценкой эффективностью ИБ
  • План
  • Модель зрелости программы
  • С чего начать?
  • Ошибки при внедрении программы управления метриками
  • Насколько вы готовы к внедрению программы?
4. Методы измерения ИБ
  • Оценка разрыва
  • «Сверху-вниз» и «снизу-вверх»
  • Оценка соответствия стандарту
  • Оценка по сравнению
  • Оценка по чеклисту
  • Оценка по графу атак \ дереву рисков
  • Оценка рисков
  • Оценка по опросам
  • Оценка уровня зрелости
  • Оценка по методу «шести сигм»
  • Аудит безопасности
  • Система сбалансированных показателей (BSC)
  • Финансовые методы оценки
5. Средства автоматизации управления метриками
6. Стандарты измерения эффективности ИБ
7. Прямая и косвенная отдача от ИБ
8. Примеры проектов измерений отдельных процессов ИБ
  • Идентификация, аутентификация, авторизация и контроль доступа
  • Повышение осведомленности, тренинги, обучение
9. Примеры программ измерения ИБ в западных компаниях

Также вы получите целый перечень метрик безопасности, который сможете использовать на практике. Среди них будут как метрики оценки деятельности всей службы информационной безопасности, так и метрики оценки эффективности отдельных классов продуктов ИБ.

8.6.09

Проект securitypolicy.ru

По адресу: securitypolicy.ru запущен проект по созданию и обсуждению всевозможных политик по информационной безопасности, в котором может принять участие любой желающий. Вы можете выкладывать свои проекты/документы на обсуждение, участвовать в обсуждении уже выложенных документов, вносить правки в них и т.д.

Уже сейчас проект насчитывает около сотни русскоязычных документов по широкому спектру тематик:
  • контроль доступа
  • непрерывность бизнеса
  • безопасность персонала
  • управление рисками
  • приобретение, разработка и поддержка систем
  • управление коммуникациями
  • физическая безопасность
  • политики для малого бизнеса, кредитных учреждений и т.п.

6.6.09

Законодательство о персданных в анекдотах

Украли у мужика корову. Приходит он домой и говорит:
- У нас корову украл какой-то пи...р. Старший брат: - Если пи...р - значит маленький.
Средний брат: - Если маленький - значит из Малиновки.
Младший Брат: - Если из Малиновки - значит Васька Косой.
Все выдвигаются в Малиновку и там прессуют Ваську Косого.
Однако Васька корову не отдает. Его ведут к мировому судье.
Мировой судья:
- Ну... Логика мне ваша непонятна. Вот у меня коробка, что в ней лежит?
Ср брат: - Коробка квадратная, значит внутри что-то круглое.
Ст. брат: - Если круглое, то оранжевое.
Мл. брат: - Если круглое и оранжевое, то апельсин.
Судья открывает коробку, а там и правда апельсин.
Судья - Ваське Косому:
- Косой, отдай корову.

Мораль простая: виноват всегда оператор персданных, даже если он не виноват ;-(

5.6.09

Новая методика оценки рисков Банка России

Я уже ссылался на эту методику и вот ее опубликовали на сайте Подкомитета №3 «Защита информации в кредитно-финансовой сфере» выложена методика оценки рисков нарушения информационной безопасности (РС БР ИББС-2.2-2009).

Отчет о деятельности Роскомнадзора за 2008 год

На сайте Роскомнадзора опубликован отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год. Внушает ;-)

4.6.09

Business Continuity Russia 2009

9-10 июня в Москве пройдет конференция "Business Continuity Russia 2009". 10-го июня в рамках конференции будет организована секция, посвященная вопросам ИБ при обеспечении BCP.

Темы докладов следующие:
  • Управление инцидентами ИБ как составная часть управления непрерывностью бизнеса – Костина Анна, консультант, Инфосистемы Джет
  • Мониторинг событий информационной безопасности как составная часть процесса обеспечения непрерывности бизнеса – Виктор Сердюк, Генеральный директор, ДиалогНаука
  • Риски и средства контроля корпоративных систем управления предприятием, контроль эффективности процессов ИБ
  • Business Impact Analysis при обеспечении информационной безопасности – Лукацкий Алексей Викторович, менеджер по развитию бизнеса, Cisco Systems.
Ведут секцию Андрей Дроздов (KPMG) и Андрей Петрович Курило (Банк России).

3.6.09

Мнение АРБ о претензиях ФСБ в отношении банков

В 7-м номере "Вестника АРБ" за этот год, опубликовано заключение АРБ по поводу обоснованности применения ст.171 УК РФ (Незаконное предпринимательство) к банкам, нарушившим законодательство на техническое обслуживание, распространение шифровальных (криптографических) средств, предоставление услуг в области шифрования.

Не буду переписывать 4 страницы - просто сошлюсь на выводы:
  1. СКЗИ в банке - это не отдельный элемент бизнеса, а неотъемлемая часть программно-аппаратного комплекса АБС, осуществляющего технологические процессы, направленные на оказание банковских услуг.
  2. Использование СКЗИ - это действия вспомогательного характера для обеспечения ИБ банковских операций.
  3. Использование СКЗИ направлено не на получение прибыли, а на предотвращение возможного ущерба физическим и юридическим лицам.
  4. Обращение банка к услугам специализированных организаций с лицензиями ФСБ не требует наличия лицензии самому (единственный спорный вывод в статье).
  5. Квалификация использования банками СКЗИ как незаконной предпринимательской деятельности основаны на поверхностной оценке ситуации и не соответствует ни практике использования ИТ в банках, ни требованиям законодательства.

2.6.09

Как научиться говорить с топ-менеджментом на одном языке? Ответ прост - ITEF 2009

Любого профессионала интересуют мировые тенденции выбранной отрасли. Люди, которые выбрали своей сферой деятельности информационные технологии или информационную безопасность, здесь не исключение. Множество российских специалистов получили доступ к знаниям и технологиям международного сообщества, так называемым "лучшим практикам". К сожалению, возможность обучения заграницей или общение с иностранными коллегами доступно далеко не всем. Поэтому Бюро профессиональных услуг 4х4, RISSPA и придумали ИТ Евро Форум (ITEF) как российскую площадку, на которой можно увидеть, что же действительно "делается в мире". Они постарались обеспечить такую среду, в которой участники форума получили бы проверенный опыт и знания, а также могли услышать новые идеи. В пользу этого говорит и поддержка конференции таких известных некоммерческих международных организаций как ISSA, (ISC)², ISACA, ITGI, BCI, BSI, MIS.

Программа форума чередуется выступления зарубежных и российских профессионалов и составлена таким образом, чтобы стимулировать обмен мнениями и выработку эффективных решений актуальных проблем отрасли.

Цель проведения: обмен международным опытом в области управления ИТ, ИТ-рисками, информационной безопасностью, планирования непрерывности бизнеса и аудита ИТ.

Аудитория: руководство и специалисты ответственные за операционную деятельность, управление рисками, информационные технологии, информационную безопасность и аудит.

1-й ИТ Евро Форум в Москве предлагает уникальную возможность получить до 24 часов профессионального образования (CPE), прослушав ключевые доклады спикеров мирового класса, посетив любые из 18-ти сессий и демонстраций поставщиков решений и услуг в области ИТ и информационной безопасности. Услышьте экспертов мирового класса, получите последние новости индустрии, знакомьтесь и общайтесь, откройте для себя последние новости из мира ИТ и информационной безопасности.

Форум предлагает три трека:
  • управление ИТ (IT Governance)
  • информационная безопасность (Information Security)
  • управление ИТ рисками и непрерывностью ведения бизнеса (ITR&BC Management)
и пять мастер-классов:
  • CobiT & Val IT как инструменты оптимизации инвестиций в ИТ (ROIT) - Hendrik Ceulemans (InfoGovernance)
  • обеспечение безопасности объединенных средств обмена информацией - Stan Fromhold (BT Security Solutions)
  • курс восстановления с концентрацией как на центре обработки данных, так и бизнес подразделениях - Ken Jaworski (Compuware)
  • внедрение комбинации ValIT, CobiT, ITIL и ISO 27000 для создания интегрированной модели управления ИТ - Arno Capteyn (CapGemini)
  • управление информационной безопасностью, чем отличается Governance от Management? - Алексей Лукаций (Cisco).