Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
31.7.09
Законы, определяющие необходимость уведомления об утечках персданных
Обновляя презентацию по персданным, заинтересовался темой раскрытия информации о фактах утечек. Все ссылаются только на Калифорнийский SB-1386, вступивший в действие с 1-го июля 2003 года. Однако, как оказалось, Калифорния пусть и была пионером в этом процессе, но сегодня она не единственный, кто ввел у себя такие законы. В частности, почти все штаты США приняли такое законодательство. Кто-то раньше, кто-то позже. Последними были Аляска и Южная Каролина, в которых эти законы вступили в действие с 1-го июля этого года.
Инструмент оценки защищенности информационных систем по шведски
Все помнят Радужную серию, отдельные книги которых описывали, как оценивать защищенность отдельных компьютеров и даже сетей. На их основе родились наши руководящие документы ФСТЭК. Потом появились "Общие критерии". Пожалуй, это все формализованные методы оценки распределенных информационных систем, которые мы знаем. Однако шведское исследовательское агентство безопасности разработало свой метод под названием CAESAR. Более того, он выложило на своем сайте инструмент ROME для автоматизации данной задачи.
Там же можно найти и средства оценки защищенности продуктов согласно "Общим критериям" и многие другие интересные freeware-решения.
Там же можно найти и средства оценки защищенности продуктов согласно "Общим критериям" и многие другие интересные freeware-решения.
30.7.09
Оценка эффективности ИБ с помощью стандарта
В курсе по измерению эффективности ИБ я рассматриваю множество различных методов оценки эффективности ИБ. Один из них - оценка на соответствие стандарту. В качестве примера рассматривается несколько принятых в России стандартов и один из них PCI DSS. Помимо достоинств у данного метода есть и несколько недостатков. Один их них - субъективность оценки. В разные моменты времени одно и тоже требование может восприниматься по разному. Например, раньше требование наличия антивируса всеми трактовалось как установка соответствующего ПО на рабочие станции и сервера. А вот с недавних пор в число устройств, на которые надо ставить антивирус вошли и банкоматы. Что будет дальше?..
Другой недостаток метода - различие в понимание одних и тех же требований стандарта разными экспертами. В области PCI ситуация еще хуже, т.к. здесь сталкиваются не просто мнения экспертов, а мнения аккредитованных экспертов, которые, логично рассуждая, должны иметь единый взгляд и трактовку одних и тех же требований стандарта. Ан нет... В блоге Сергея Гордейчика наткнулся на интересный пример. Опять же из российской практики. Две уважаемых компании - Информзащита и Digital Security, обе имеющие статус QSA, имеют диаметрально противоположные мнения о том, можно ли хранить PAN в открытом виде. Digital Security против, а Информзащита - за. Правда, сценарии такого хранения рассматриваются разные - в одном случае речь идет о черных списках (где они хранятся не говорится), во втором - о PAN во внутренней почте. Но суть от этого не меняется - Digital Security категорична и считает, что надо либо шифровать PAN, либо хранить их хэши и не важно, где они обрабатываются - внутри или снаружи защищаемой сети. У Информзащиты иное мнение... Было. 5 июня. 1-го июля мнение поменялось. Причем тоже интересная ситуация. Информзащита, ссылаясь на PCI Council, признает свою ошибку (PAN надо шифровать даже во внутренней почте), но считает такую трактовку стандарта со стороны его разработчика и координатора некорректной ;-)
К чему мы приходим в итоге? К тому, что если для необязательного стандарта, разница в мнении эксперта/экспертов не столь критична (если, конечно, ее результатом не будет отказ от выдачи сертификата), то для стандарта, невыполнение требований которого влечет за собой штраф, такой разброс во мнениях может вести к более печальным последствиям.
Другой недостаток метода - различие в понимание одних и тех же требований стандарта разными экспертами. В области PCI ситуация еще хуже, т.к. здесь сталкиваются не просто мнения экспертов, а мнения аккредитованных экспертов, которые, логично рассуждая, должны иметь единый взгляд и трактовку одних и тех же требований стандарта. Ан нет... В блоге Сергея Гордейчика наткнулся на интересный пример. Опять же из российской практики. Две уважаемых компании - Информзащита и Digital Security, обе имеющие статус QSA, имеют диаметрально противоположные мнения о том, можно ли хранить PAN в открытом виде. Digital Security против, а Информзащита - за. Правда, сценарии такого хранения рассматриваются разные - в одном случае речь идет о черных списках (где они хранятся не говорится), во втором - о PAN во внутренней почте. Но суть от этого не меняется - Digital Security категорична и считает, что надо либо шифровать PAN, либо хранить их хэши и не важно, где они обрабатываются - внутри или снаружи защищаемой сети. У Информзащиты иное мнение... Было. 5 июня. 1-го июля мнение поменялось. Причем тоже интересная ситуация. Информзащита, ссылаясь на PCI Council, признает свою ошибку (PAN надо шифровать даже во внутренней почте), но считает такую трактовку стандарта со стороны его разработчика и координатора некорректной ;-)
К чему мы приходим в итоге? К тому, что если для необязательного стандарта, разница в мнении эксперта/экспертов не столь критична (если, конечно, ее результатом не будет отказ от выдачи сертификата), то для стандарта, невыполнение требований которого влечет за собой штраф, такой разброс во мнениях может вести к более печальным последствиям.
29.7.09
Что думает РосКомНадзор про обезличивание
Не буду разглагольствовать - просто дам ссылку на блог Vazone. Но фраза "пособы и алгоритмы обезличивания персональных данных оператор, осуществляющий обработку персональных данных, определяет самостоятельно" внушает оптимизм ;-)
28.7.09
Об оплотах независимости в Рунете
Наткнулся на портал www.secureblog.info, созданный Александром Гостевым, вирусным аналитиком Лаборатории Касперского. Как отмечено на nonsecure.info, данный портал "является практически последним оплотом независимости от вендоров в сфере ИБ (здесь их критикуют, а не восхваляют, как например на www.anti-malware.ru)". Не могу сказать, что он последний. Даже если не считать меня критиком ;-), то есть еще блог arkanoid'а, да и многие другие блоги, многие из которых сведены на security (b)log, и которые тоже не стесняются открыто обсуждать.
Про отсутствие восхваления тоже не все гладко - Касперского пиарят ;-) Исподволь, неофициально, с юмором, но пиарят. Ну да сложно себе представить, чтобы сотрудник ругал своего работодателя. Я вон Cisco ни разу не ругал ;-)
Но в целом потрал оказался интересным. Как минимум, как уменьшенная копия зарубежного Security Bloggers Network ;-)
ЗЫ. Интересная заметка Александра Гостева про гавнопиар. Да и дискуссия сотрудника Лаборатории Касперского с основателем Kaspersky Club под заметкой тоже прикольна ;-)
Про отсутствие восхваления тоже не все гладко - Касперского пиарят ;-) Исподволь, неофициально, с юмором, но пиарят. Ну да сложно себе представить, чтобы сотрудник ругал своего работодателя. Я вон Cisco ни разу не ругал ;-)
Но в целом потрал оказался интересным. Как минимум, как уменьшенная копия зарубежного Security Bloggers Network ;-)
ЗЫ. Интересная заметка Александра Гостева про гавнопиар. Да и дискуссия сотрудника Лаборатории Касперского с основателем Kaspersky Club под заметкой тоже прикольна ;-)
27.7.09
Самопиар, security awareness или реальная помощь?
Долго думал, с чего начать эту заметку. Так и не придумал ;-( Решил дать рукам волю и пусть сами пишут то, о чем я сейчас думаю. Итак, наткнулся я на сайт nosecure.info. Очень интересный ресурс, ибо заметки на нем показывают неплохую квалификацию авторов. Но вот этическая сторона вопроса... Зачем писать о том, какие дыры есть на сайте Инфосистемы Джет, Вымпелком, RISSPA, Лаборатории Касперского, sec.ru, СекЛаб и т.п.? Как это влияет на повышение осведомленности или реальную защищенность? Сложно сказать. Самопиар? Но на сайте постоянно твердят, что помогают они бескорыстно и готовы консультировать любого вопрошающего бесплатно. В-общем, я так и не пришел к единому мнению, какие чувства вызывает у меня этот сайт...
ЗЫ. С другой стороны, почитав заметки на сайте, я обратил внимание, что часто грешу тему же - критикую всех без разбора ;-( Надо что-то с этим делать. Больше позитива добавить что-ли и советов с помощью?.. Надо осмыслить...
ЗЗЫ. Два часа спустя... Осмыслил. Если уж все позволяют себе ругать вендоров, то почему нельзя ругать потребителей... также с указанием их имен?
ЗЗЗЫ. И еще один постскриптум (наверное последний). После таких вот новостей о том, что на том-то сайте, специализирующемся на ИБ или на другом, найдены дыры, запускать свой сайт как-то не хочется. Сколько раз уже брался за это, но все время останавливает именно этот момент - не хочется, чтобы мой сайт был взломан. А самостоятельно обеспечивать защиту динамического сайта на каком-либо популярном движке я не готов - техническая квалификация уже не та ;-(
ЗЫ. С другой стороны, почитав заметки на сайте, я обратил внимание, что часто грешу тему же - критикую всех без разбора ;-( Надо что-то с этим делать. Больше позитива добавить что-ли и советов с помощью?.. Надо осмыслить...
ЗЗЫ. Два часа спустя... Осмыслил. Если уж все позволяют себе ругать вендоров, то почему нельзя ругать потребителей... также с указанием их имен?
ЗЗЗЫ. И еще один постскриптум (наверное последний). После таких вот новостей о том, что на том-то сайте, специализирующемся на ИБ или на другом, найдены дыры, запускать свой сайт как-то не хочется. Сколько раз уже брался за это, но все время останавливает именно этот момент - не хочется, чтобы мой сайт был взломан. А самостоятельно обеспечивать защиту динамического сайта на каком-либо популярном движке я не готов - техническая квалификация уже не та ;-(
24.7.09
Путин на Магнитке или история по безопасность для бизнеса
В новостях сейчас показали, как Путин посетил Магнитку и провел там заседание про металлургическую отрасль. И вспомнилась мне история, произошедшая на одном российском металлургическом комбинате. Система управления цепочками поставок вышла (или скорее всего была выведена) из строя всего на 40 минут. Когда систему запустили вновь оказалось, что за это время было украдено несколько эшелонов (!) с металлом. Всего за 40 минут. Исчезли бесследно. Точнее вагоны потом нашли, а вот металл уже нет. Ущерб немаленький и всего лишь из-за простоя менее часа.
Был и плюс в этой ситуации. Служба ИБ потом смогла без труда обосновать инвестиции в новые проекты.
Был и плюс в этой ситуации. Служба ИБ потом смогла без труда обосновать инвестиции в новые проекты.
22.7.09
И вновь об отчете Леты ;-)
Несколько дней назад я прошелся по отчету и прогнозам Leta-IT в области ИБ. И вот на Cnews появился ответ на мои комментарии ;-) И хотя Ригель не понимает мою "любовь" к Лете, я вновь ее продемонстрирую, прокомментировав их комментарии ;-)
1. Неназванный представитель Leta говорит, что отечественный рынок ИБ несмотря на отсутствие хотя бы одной публичной сделки слияния/поглощения, все равно самый перспектвный для этого среди всех остальных. И закрытость компаний тут не помеха. Главный совет Леты - поменять финансовое руководство и наступит счастье. Ну что тут можно комментировать. Если кого-то из игроков рынка ИБ скрытно купила металлургическая компания, это еще не значит, что есть основания из этого факта делать далеко идущие выводы. Вот когда в России будет хотя бы парочку публичных M&A-сделок, тогда и можно говорить о некоторой тенденции. А пока это все нагревание воздуха и выдавание желаемого за действительное.
2. Лета по-прежнему настаивает на том, что российский бизнес при выборе средств защиты оперирует понятиями KPI, ROSI и т.д. Я с радостью бы разделил надежды авторов отчета, но они далеко от реальности. Ох как далеки. Если PbP, NPV, BSC и аналогичные понятия и знакомы некоторым руководителям клиентов Леты, это не значит, что на этом языке говорят все. Опять же повторю прошлый вывод. Если бы отчет описывал тенденции бизнеса Леты, то и вопросов бы не было. Но некорректно по себе судить о всем рынке. К сожалению крупные проекты пока внедряются немного по иным мотивам. Возврат инвестиций там может быть и встречается, но немного в иной трактовке ;-)
3. Ну про персданные ни один из критиков не говорил, но Лета в своем комментарии опять взялась за свою любимую тему ;-) Утверждать, что невыполнение требований регуляторов приводит к приостановлению деятельности или краху компании, это откровенно запугивать потребителя. Да, такая возможность потенциально существует. Но именно что потенциально. А вот реальных примеров нет. И я не уверен, что появятся. И с точки зрения здравого смысла, и с точки зрения реальной практики проверок. Все будет решено гораздо раньше обращения в суд по поводу приостановления деятельности. И гораздо дешевле. Не говоря уже о вполне законных способах оптимизации усилий организаций по приведению себя в соответствие с требования ФЗ-152 и подзаконных актов.
Мне импонирует, что неназванный представитель Леты говорит о том, что у них есть сценарии, по которым потребителю не понадобится тратить сотни тысяч долларов на приведение в себя в соответствие и что затраты будут в разы меньше. Также утверждается, что Лета об этом регулярно говорит и пишет. Где? Хотел бы я ознакомиться. Если же посмотреть на сайт Леты, то там говорится совершенно другое. Их подход исходит из того, что требования регуляторов - "истина в последней инстанции", а потребитель изначально не соблюдает их. Следовательно, задача интегратора найти эти нарушения и устранить их, приведя все в соответствие с требования ФСТЭК, РКН и ФСБ - провести аттестацию и т.п. И где же тут оптимизация? Где дешевые сценарии?
Ну вот и все ;-)
ЗЫ. Меня часто называют штатным критиком и иногда даже приглашают на мероприятия именно для того, чтобы я выступил с другой стороны "баррикад". Но я ни в коем случае не ставлю себе задачу критиковать всех без разбора. Просто надо понимать, что на рынок ИБ можно и нужно глядеть не только с точки зрения регулятора (которым тоже свойственно ошибаться) или поставщика средства защиты, но и с точки зрения потребителя, которая может сильно отличаться от навязываемых ему мнений ;-(
1. Неназванный представитель Leta говорит, что отечественный рынок ИБ несмотря на отсутствие хотя бы одной публичной сделки слияния/поглощения, все равно самый перспектвный для этого среди всех остальных. И закрытость компаний тут не помеха. Главный совет Леты - поменять финансовое руководство и наступит счастье. Ну что тут можно комментировать. Если кого-то из игроков рынка ИБ скрытно купила металлургическая компания, это еще не значит, что есть основания из этого факта делать далеко идущие выводы. Вот когда в России будет хотя бы парочку публичных M&A-сделок, тогда и можно говорить о некоторой тенденции. А пока это все нагревание воздуха и выдавание желаемого за действительное.
2. Лета по-прежнему настаивает на том, что российский бизнес при выборе средств защиты оперирует понятиями KPI, ROSI и т.д. Я с радостью бы разделил надежды авторов отчета, но они далеко от реальности. Ох как далеки. Если PbP, NPV, BSC и аналогичные понятия и знакомы некоторым руководителям клиентов Леты, это не значит, что на этом языке говорят все. Опять же повторю прошлый вывод. Если бы отчет описывал тенденции бизнеса Леты, то и вопросов бы не было. Но некорректно по себе судить о всем рынке. К сожалению крупные проекты пока внедряются немного по иным мотивам. Возврат инвестиций там может быть и встречается, но немного в иной трактовке ;-)
3. Ну про персданные ни один из критиков не говорил, но Лета в своем комментарии опять взялась за свою любимую тему ;-) Утверждать, что невыполнение требований регуляторов приводит к приостановлению деятельности или краху компании, это откровенно запугивать потребителя. Да, такая возможность потенциально существует. Но именно что потенциально. А вот реальных примеров нет. И я не уверен, что появятся. И с точки зрения здравого смысла, и с точки зрения реальной практики проверок. Все будет решено гораздо раньше обращения в суд по поводу приостановления деятельности. И гораздо дешевле. Не говоря уже о вполне законных способах оптимизации усилий организаций по приведению себя в соответствие с требования ФЗ-152 и подзаконных актов.
Мне импонирует, что неназванный представитель Леты говорит о том, что у них есть сценарии, по которым потребителю не понадобится тратить сотни тысяч долларов на приведение в себя в соответствие и что затраты будут в разы меньше. Также утверждается, что Лета об этом регулярно говорит и пишет. Где? Хотел бы я ознакомиться. Если же посмотреть на сайт Леты, то там говорится совершенно другое. Их подход исходит из того, что требования регуляторов - "истина в последней инстанции", а потребитель изначально не соблюдает их. Следовательно, задача интегратора найти эти нарушения и устранить их, приведя все в соответствие с требования ФСТЭК, РКН и ФСБ - провести аттестацию и т.п. И где же тут оптимизация? Где дешевые сценарии?
Ну вот и все ;-)
ЗЫ. Меня часто называют штатным критиком и иногда даже приглашают на мероприятия именно для того, чтобы я выступил с другой стороны "баррикад". Но я ни в коем случае не ставлю себе задачу критиковать всех без разбора. Просто надо понимать, что на рынок ИБ можно и нужно глядеть не только с точки зрения регулятора (которым тоже свойственно ошибаться) или поставщика средства защиты, но и с точки зрения потребителя, которая может сильно отличаться от навязываемых ему мнений ;-(
21.7.09
Книга отечественного автора по безопасности Oracle
Александр Поляков из Digital Security написал и опубликовал книгу "Безопасность Oracle глазами аудитора: нападение и защита". Как написано в аннотации: "Эта книга является первым исследованием, написанным отечественным автором, которое посвящено проблеме безопасности СУБД Oracle. Материал книги основан на практическом опыте автора, полученном им в результате проведения тестов на проникновение, анаизе защищённости бизнес-приложений и обширной исследовательской деятельности в области безопасности СУБД. Книга построена таким образом, что вначале читатель ставится на место потенциального злоумышленника и изучает все возможные способы получения доступа к базе данных, вплоть до поиска новых уязвимостей и написания эксплоитов. Получив достаточно знаний об основных уязвимостях СУБД и о способах проникновения, читатель переходит ко второй части книги, в которой подробно описаны методы защиты СУБД Oracle как с помощью безопасной конфигурации и следования стандартам (в частности, PCI DSS), так и при помощи дополнительных средств обеспечения ИБ".
Разъяснение требований по безопасности Wi-Fi в рамках PCI DSS
На сайте PCI Council размещены разъяснения по поводу беспроводных сетей, их защиты, контроля в рамках стандарта PCI DSS.
20.7.09
Формализация ИБ в крупных и небольших компаниях
Занимаюсь подготовкой курса "Теория организации и информационная безопасность" и наткнулся на интересное исследование в облатси психологии, результаты которого были опубликованы в 2006-м году профессором антропологии и эволюционной психологии из Гарварда Марком Хаузером. Оно было посвящено врожденности человеческой морали и разделении "белого" и "черного", хорошего и плохого.
Один из сделанных выводов касается и безопасности. Оказывается, в ограниченных сообществах (до 150 человек) порицание окружающих может сдерживать плохие поступки людей. Их удерживает боязнь быть осмеянными и опозоренными. Именно поэтому в небольших компаниях, где все знают друг друга, нет нужды в написании каких-нибудь формализованных правил поведения, кодексов этического поведения или политики безопасности. Неправильные действия сотрудников сдерживаются сами по себе, т.к. почти любой боится попасть в корпоративную рассылку как "мальчиш-плохиш" или быть предметом обсуждения в курилке.
На крупных предприятиях, где как такового коллектива нет – он обезличен, общественного осуждения уже недостаточно – необходим Закон, который определяет вполне конкретные наказание за тот или иной проступок. Именно потенциальная кара может сдерживать сотрудников от совершения каких-либо неправильных действий, нарушающих, например, политику безопасности. Хаузер отмечает, что в обществе, в котором сильна законодательная или нормативная составляющая, человек перестает опираться на моральные принципы и нормы. Его останавливает только запрет, оформленный документально в правилах, политиках, кодексах и т.п.
Какой вывод можно сделать из данного исследования с точки зрения информационной безопасности? На малых предприятиях (до 150 сотрудников) формализация правил информационной безопасности и наказания за их невыполнение является зачастую излишней и даже неработающей практикой. Достаточно просто несколько раз сообщить всему коллективу о нарушителях ИБ-распорядка. А вот в крупных компаниях все с точностью наоборот – необходимо формализовать политику безопасности и формы наказания за ее несоблюдение и через HR довести до сведения каждого сотрудника. Дополнительной мерой, уберегающей компанию от нарушений правил ИБ, является искусственное сужение круга общения, т.е. общественное порицание в рамках отдела или департамента, где все знают друг друга. Правда, в этом случае без поддержки руководителя подразделения не обойтись. Именно он будет залогом того, что любое нарушение политики ИБ станет достоянием всех членов команды, что и должно останавливать потенциальных нарушителей. Дополнительную помощь в этом может оказать карьеризм, который для многих является самоцелью. Общественное порицание или наказание за нарушение формализованных правил может быть хорошим стопором для людей, боящихся, что это может негативно повлиять на их движение по карьерной лестнице. С другой стороны карьеризм является препятствием и для формирование командного духа, т.к. карьеристы обычно действуют по принципу "каждый за себя", "пойду по головам ради цели" и т.п., а это явно не способствует созданию небольших групп, в которых общественное порицание может оказать влияние на действия сотрудников.
Один из сделанных выводов касается и безопасности. Оказывается, в ограниченных сообществах (до 150 человек) порицание окружающих может сдерживать плохие поступки людей. Их удерживает боязнь быть осмеянными и опозоренными. Именно поэтому в небольших компаниях, где все знают друг друга, нет нужды в написании каких-нибудь формализованных правил поведения, кодексов этического поведения или политики безопасности. Неправильные действия сотрудников сдерживаются сами по себе, т.к. почти любой боится попасть в корпоративную рассылку как "мальчиш-плохиш" или быть предметом обсуждения в курилке.
На крупных предприятиях, где как такового коллектива нет – он обезличен, общественного осуждения уже недостаточно – необходим Закон, который определяет вполне конкретные наказание за тот или иной проступок. Именно потенциальная кара может сдерживать сотрудников от совершения каких-либо неправильных действий, нарушающих, например, политику безопасности. Хаузер отмечает, что в обществе, в котором сильна законодательная или нормативная составляющая, человек перестает опираться на моральные принципы и нормы. Его останавливает только запрет, оформленный документально в правилах, политиках, кодексах и т.п.
Какой вывод можно сделать из данного исследования с точки зрения информационной безопасности? На малых предприятиях (до 150 сотрудников) формализация правил информационной безопасности и наказания за их невыполнение является зачастую излишней и даже неработающей практикой. Достаточно просто несколько раз сообщить всему коллективу о нарушителях ИБ-распорядка. А вот в крупных компаниях все с точностью наоборот – необходимо формализовать политику безопасности и формы наказания за ее несоблюдение и через HR довести до сведения каждого сотрудника. Дополнительной мерой, уберегающей компанию от нарушений правил ИБ, является искусственное сужение круга общения, т.е. общественное порицание в рамках отдела или департамента, где все знают друг друга. Правда, в этом случае без поддержки руководителя подразделения не обойтись. Именно он будет залогом того, что любое нарушение политики ИБ станет достоянием всех членов команды, что и должно останавливать потенциальных нарушителей. Дополнительную помощь в этом может оказать карьеризм, который для многих является самоцелью. Общественное порицание или наказание за нарушение формализованных правил может быть хорошим стопором для людей, боящихся, что это может негативно повлиять на их движение по карьерной лестнице. С другой стороны карьеризм является препятствием и для формирование командного духа, т.к. карьеристы обычно действуют по принципу "каждый за себя", "пойду по головам ради цели" и т.п., а это явно не способствует созданию небольших групп, в которых общественное порицание может оказать влияние на действия сотрудников.
17.7.09
Рабочие шаблоны документов по персданным
Так как эта ссылка уже просочилась в Интернет, то я решил тоже ее не скрывать. На официальном портале Администрации Смоленской области в разделе, явно непредназначенном для широкого доступа, размещены документы по персональным данным. Помимо законов и иных нормативов регуляторов в этом разделе есть очень полезные документы, за которые интеграторы берут большие деньги:
- акт классификации ИСПДн
- частная модель угроз
- приказ об организации работ по персоанльным данным
- акт установки средств защиты
- паспорт на объект вычислительной техники
- и т.д.
16.7.09
15.7.09
Очередной отчет Leta-IT о рынке ИБ в России
Год назад Leta-IT выпустила отчет о состоянии рынка ИБ в России. И вот на днях Leta порадовала третьим своим видением тенденций отечественного рынка ИБ. Многие из озвученных год назад претензий к логике и фактам отчета остались без внимания. Поэтому пройдусь по новой версии отчета более внимательно ;-)
Общее резюме: отчет скорее претендует на анализ рынка ИБ в бизнесе компании Leta-IT. Если трактовать его так, то вопросов почти не будет. На анализ всего рынка ИБ в России этот отчет претендовать не может - ни с логической, ни с фактографической точки зрения.
ЗЫ. Про орфографию и русский язык отчета я опять умалчиваю ;-( Вообще складывается впечатление, что отчет готовился впопыхах (как и документы ФСТЭК по персданным). Текст не вычитан, предложения обрываются на полуслове, впечатляют скачки от "космических кораблей" в виде ROSI, KPI и инвестиций в рынок до описания уязвимостей в Acrobat Reader.
- Мне непонятен отказ от исследования сегмента сетевой безопасности, хотя он самый массовый в России (да и в мире тоже). Возможно потому, что авторы отчета на этом рынке не работают?
- Я не верю в 30%-й ежегодный рост рынка ИБ. При этом авторы отчета сами подтверждают, что затраты на ИБ снизились. Даже называются конкретные цифры - от 20% до 50% проектов по ИБ заморожены, т.е. деньги на них не выделяются. Откуда тогда те же показатели роста, что и в докризисные времена? В другом месте отчета Leta вообще говорить о продолжении стагнации рынка.
- Рынок ИБ в России наполняют частные, закрытые и абсолютно непрозрачные компании. В таких условиях, даже в кризис, говорить об инвестиционной привлекательности (да еще и самой большой по сравнению с другими сегментами) не приходится. По рынку ходят слухи о покупке ряда игроков рынка ИБ ИТ-интеграторами, но дальше слухов дело не пошло. Единственное публичное слияние "Информзащиты" и ОКБ САПР сорвалось, а других сделок на российском рынке ИБ пока не видно и не слышно.
- В одном месте отчета Leta заявляет о росте интереса к стандартам серии 2700x, а в другом - об отсутствии применения этих стандартов...
- Тезис о непременном выделении денег на обязательные требования регуляторов даже в условиях кризиса очень спорен. Любой здравомыслящий руководитель оперирует рисками, а не "мифическими" угрозами со стороны киберпреступников. Когда на одной чаше весов находится проект по приведению себя в соответствие с требованиями регуляторов в сотни тысяч долларов, а на другой - штраф за невыполнение требований всего в несколько тысяч рублей, говорить, что деньги будут выделяться всегда крайне неразумно.
- В одном месте отчета говорится о том, что проекты ИБ внедряются компаниями самостоятельно, а в другом, что заказчики стали больше приглашать внешних консультантов. Тезис о том, что к услугам консультантов прибегает малый бизнес выглядят вообще смешно. Этот сегмент российской экономики в условиях кризиса думает не о безопасности, а о том, как выжить. Они и об ИТ думают с позиций, как съэкономить пару сотен долларов. А уж про самостоятельную безопасность (исключая быть может антивирусы) они вообще не думают на данном этапе развития.
- К сегментации средств ИБ у меня тоже серьезные нарекания. Соотношение 68%/5% в пользу ПО показывает непонимание авторами тенденций всего рынка ИБ. Я могу допустить, что такое соотношение применимо к рынку антивирусной защиты, на котором в первую очередь специализируется Leta, но приравнивать тенденцию ко всему рынку... это в корне неверно. Мой тезис подтверждается и выводом авторов отчета о том, что возрос интерес к ИБ у частного потребителя. Опять же это может касаться антивирусов, но не всего рынка. Например, на рынке безопасности Интернет-доступа большого спроса со стороны физлиц пока не наблюдается.
- Интересен список производителей ПО безопасности и ИБ-интеграторов. В нем отсутствуют такие компании, как Positive Technologies, объемы продаж которой даже превышают показатели некоторых из упомянутых Leta игроков. А среди интеграторов "забыты" Открытые технологии, Nvision, АМТ, Техносерв, РНТ и т.д.
- Раздел, посвященный введенным в строй в 2008 году национальным стандартам, показывает, что нельзя слепо копировать данные из чужих презентаций на различных конференциях (в данном случае копирование было из презентации г-на Герасименко из Воронежского института ФСТЭК). Приведенный список якобы введенных в действие стандартов соответствует действительности процентов на 10% в лучшем случае. Многие из указанных в отчете стандартов еще даже не переведены профильными НИИ наших регуляторов, не говоря уже об их принятии. А, например, принятый в конце 2008-го года ГОСТ по безопасности сетей и систем связи был забыт. Также как и новая версия стандарта PCI DSS.
- Я еще в прошлом году говорил, что считать будто бы ROSI и KPI стали стандартом для большинства организаций - значит не знать рынка ИБ. В этом году могу только подтвердить этот факт. А уж утверждать, что даже малый бизнес стал оперировать этими терминами... Это вообще несерьезно.
Общее резюме: отчет скорее претендует на анализ рынка ИБ в бизнесе компании Leta-IT. Если трактовать его так, то вопросов почти не будет. На анализ всего рынка ИБ в России этот отчет претендовать не может - ни с логической, ни с фактографической точки зрения.
ЗЫ. Про орфографию и русский язык отчета я опять умалчиваю ;-( Вообще складывается впечатление, что отчет готовился впопыхах (как и документы ФСТЭК по персданным). Текст не вычитан, предложения обрываются на полуслове, впечатляют скачки от "космических кораблей" в виде ROSI, KPI и инвестиций в рынок до описания уязвимостей в Acrobat Reader.
14.7.09
Deloitte организовал опрос по теме персональных данных
Уважаемые коллеги,
Компания «Делойт» приглашает Вас принять участие в опросе, посвященном оценке уровня готовности к выполнению требований Федерального закона Российской Федерации N 152-ФЗ «О персональных данных», для крупнейших организаций России, занятых в сфере высоких технологий, телекоммуникаций и финансовых услуг. Вам предлагается ответить на ряд вопросов анкеты по различным аспектам защиты персональных данных.
История вопроса
Проведение данного исследования является продолжением международного исследования «Делойта», посвященного информационной безопасности в отрасли высоких технологий, телекоммуникаций, развлечений и СМИ по результатам 2008 года, в числе результатов которого были следующие выводы:
Вы можете ознакомиться с результатами международного исследования «Делойта», посвященного информационной безопасности в отрасли высоких технологий, телекоммуникаций, развлечений и СМИ по ссылке.
Приведенные выше результаты, наряду с требованиями Федерального закона Российской Федерации «О персональных данных», вызвали значительный интерес к исследованию ситуации в России со стороны организаций, занятых в сфере высоких технологий, телекоммуникаций и финансовых услуг, основная деятельность которых связана с обработкой значительного количества персональных данных, и послужили стимулом к проведению дополнительного исследования в этой области.
Текущее исследование «Делойта»
Заполнение анкеты может занять около 30 минут. Просим направить нам Ваши ответы до 17 июля 2009 года.
После обработки данных «Делойт» предоставит Вам отчет с обобщенными результатами проведенного исследования о степени готовности организаций и мерах принимаемых для подготовки к требованиям Закона. Результаты будут представлены в обезличенной форме без упоминания названий организаций, принявших участие в исследовании, и их представителей. В отчет также войдет анализ текущего состояния и тенденций в защите персональных данных, подготовленный экспертами компании «Делойт».
Подготовку отчета планируется завершить в августе текущего года. Ориентировочные сроки предоставления отчета – август-сентябрь 2009 года.
Вы можете направить нам ответ в наиболее удобном для Вас формате:
Если у Вас возникнут вопросы по заполнению анкеты или по другим аспектам проведения опроса, Вы можете обращаться к:
•Татьяне Чекулаевой, Координатору развития отраслей высоких технологий, телекоммуникаций, развлечений и СМИ по адресу tchekulaeva@deloitte.ru или по телефонам +7 (495) 787 0600 и +7 (916) 338 1105;
•Денису Липову, Старшему менеджеру группы Управления рисками организаций Департамента консалтинга по адресу dlipov@deloitte.ru или по телефонам +7 (495) 787 0600 и +7 (903) 776 5362.
Компания «Делойт» приглашает Вас принять участие в опросе, посвященном оценке уровня готовности к выполнению требований Федерального закона Российской Федерации N 152-ФЗ «О персональных данных», для крупнейших организаций России, занятых в сфере высоких технологий, телекоммуникаций и финансовых услуг. Вам предлагается ответить на ряд вопросов анкеты по различным аспектам защиты персональных данных.
История вопроса
Проведение данного исследования является продолжением международного исследования «Делойта», посвященного информационной безопасности в отрасли высоких технологий, телекоммуникаций, развлечений и СМИ по результатам 2008 года, в числе результатов которого были следующие выводы:
- Многие компании отрасли не имеют программы управления соблюдением нормативных правил и требований в области защиты персональных данных и формализованных регламентов в отношении уничтожения персональных данных;
- Вопрос защиты конфиденциальной информации вызывает обеспокоенность со стороны большинства потребителей, которым все чаще приходится раскрывать свои персональные данные;
- Несоблюдение нормативных правил и требований может привести к штрафам и значительным последствиям.
Вы можете ознакомиться с результатами международного исследования «Делойта», посвященного информационной безопасности в отрасли высоких технологий, телекоммуникаций, развлечений и СМИ по ссылке.
Приведенные выше результаты, наряду с требованиями Федерального закона Российской Федерации «О персональных данных», вызвали значительный интерес к исследованию ситуации в России со стороны организаций, занятых в сфере высоких технологий, телекоммуникаций и финансовых услуг, основная деятельность которых связана с обработкой значительного количества персональных данных, и послужили стимулом к проведению дополнительного исследования в этой области.
Текущее исследование «Делойта»
Заполнение анкеты может занять около 30 минут. Просим направить нам Ваши ответы до 17 июля 2009 года.
После обработки данных «Делойт» предоставит Вам отчет с обобщенными результатами проведенного исследования о степени готовности организаций и мерах принимаемых для подготовки к требованиям Закона. Результаты будут представлены в обезличенной форме без упоминания названий организаций, принявших участие в исследовании, и их представителей. В отчет также войдет анализ текущего состояния и тенденций в защите персональных данных, подготовленный экспертами компании «Делойт».
Подготовку отчета планируется завершить в августе текущего года. Ориентировочные сроки предоставления отчета – август-сентябрь 2009 года.
Вы можете направить нам ответ в наиболее удобном для Вас формате:
- В виде файла по электронной почте (по адресу tchekulaeva@deloitte.ru или dlipov@deloitte.ru);
- распечатанном виде с Вашими ответами (в данном случае сообщите нам, где и когда мы можем забрать у Вас анкету).
Если у Вас возникнут вопросы по заполнению анкеты или по другим аспектам проведения опроса, Вы можете обращаться к:
•Татьяне Чекулаевой, Координатору развития отраслей высоких технологий, телекоммуникаций, развлечений и СМИ по адресу tchekulaeva@deloitte.ru или по телефонам +7 (495) 787 0600 и +7 (916) 338 1105;
•Денису Липову, Старшему менеджеру группы Управления рисками организаций Департамента консалтинга по адресу dlipov@deloitte.ru или по телефонам +7 (495) 787 0600 и +7 (903) 776 5362.
13.7.09
Презентация "Измерение эффективности ИБ". Облегченная версия
Я уже писал, что в ИБД АРБ читаю курс по измерению эффективности ИБ. Урезанную версию этого курса, которую я читал на днях на одном из семинаров, я и выкладываю. В ней многие аспекты данной темы не раскрыты, а часть вообще отсутствует (все-таки вместить в 30 минут многочасовую презентацию не просто), но общее впечатление от данного направления деятельности любой современной службы ИБ получить можно.
9.7.09
Новый курс - "Построение модели угроз"
Запустил новый курс в ИБД АРБ - "Построение модели угроз". Учитывая актуальность темы, как минимум по направлению персданных, думаю курс найдет своего слушателя. Первое чтение будет 30-го сентября в ИБД АРБ (очно и онлайн).
Программа курса будет следующей:
В процессе изучения каждый слушатель получит комплект сопутствующих документов, шаблоны модели угроз и перечень типовых угроз, покрывающий 80% потребностей любой организации.
Программа курса будет следующей:
- Для чего нужна модель угроз? Необходимость или требование регулятора?
- Модель угроз и требования по защите персональных данных
- Процедура построения модели угроз
- Внутренний враг – опасность преувеличена?
- Принцип Парето или правило «80/20» при разработке модели угроз
- Модели угроз ФСТЭК, ФСБ, СТО БР ИББС-1.0, BSI (Германия), Microsoft, Cisco, MAGERIT
- Средства моделирования угроз.
В процессе изучения каждый слушатель получит комплект сопутствующих документов, шаблоны модели угроз и перечень типовых угроз, покрывающий 80% потребностей любой организации.
8.7.09
Новый игрок на российском рынке ИБ
На российском рынке ИБ появился новый игрок - компания AppForce. Основная специализация - Security Operations Center (SOC) в различных видах:
- услуга по построение SOC для вас
- собственное ПО для построения SOC
- аутсорсинговый SOC (по модели Security-as-a-Service).
7.7.09
Новое поглощение на российском рынке ИБ
Концерн «Ситроникс» (контролируется АФК "Системой") объявил о приобретении 51% компании «Сетевые системы». «Сетевые Системы» не слишком заметная компания на рынке. Она была основана в 2005 г. Специализируется на разработке систем, программных и аппаратно-программных устройств сетевой безопасности и криптографической защиты данных. До 2008 г. компания занималась разработкой межсетевых экранов (МСЭ, Firewalls) NetSys на базе собственной ОС Pyros.
От себя хочу заметить, что несмотря на заявления владельца компании в комментариях к новости Cnews, этот игрок на отечественным рынке действительно был не известен. Скорее всего это была и есть придворная компания АФК "Система", судя по реализованным ею проектам. Продукты этой компании, несмотря на "прорыв в области разработки программных и аппаратно-программных устройств сетевой безопасности и криптографической защиты данных", широкой известности не получили и о каком "успехе" говорится на сайте производителя непонятно. За годы существования компания "Сетевые системы" не смогла получить ни одного сертификата ФСТЭК и ФСБ, прикрываясь "патентами и свидетельствами".
От себя хочу заметить, что несмотря на заявления владельца компании в комментариях к новости Cnews, этот игрок на отечественным рынке действительно был не известен. Скорее всего это была и есть придворная компания АФК "Система", судя по реализованным ею проектам. Продукты этой компании, несмотря на "прорыв в области разработки программных и аппаратно-программных устройств сетевой безопасности и криптографической защиты данных", широкой известности не получили и о каком "успехе" говорится на сайте производителя непонятно. За годы существования компания "Сетевые системы" не смогла получить ни одного сертификата ФСТЭК и ФСБ, прикрываясь "патентами и свидетельствами".
6.7.09
Новый форум по персданным
ReignVox, следуя моде, тоже запустила форум по персданным. Сообщений там пока мало, но лиха беда начало.
У них же на сайте есть раздел "Комментарии специалистов", но там пока только один материал - по трансграниченой передаче ПДн. И хотя изложенное мнение очень спорно, оно тоже имеет право на существование. Ведь никаких комментариев от наших регуляторов нет и не скоро появится. Как-то на заседании АРБ я спросил представителя РКН о том, как они понимают тот или иной термин в ФЗ-152. На это представитель Роскомнадзора ответил, что они не трактуют закон, а выполняют его. На мой уточняющий вопрос, как они выполняют ФЗ, в котором очень много двойных и даже тройных толкований, он опять повторил, что они не трактуют, а выполняют ФЗ.
Так что остается только читать разные мнения, чтобы придти к своему ;-)
У них же на сайте есть раздел "Комментарии специалистов", но там пока только один материал - по трансграниченой передаче ПДн. И хотя изложенное мнение очень спорно, оно тоже имеет право на существование. Ведь никаких комментариев от наших регуляторов нет и не скоро появится. Как-то на заседании АРБ я спросил представителя РКН о том, как они понимают тот или иной термин в ФЗ-152. На это представитель Роскомнадзора ответил, что они не трактуют закон, а выполняют его. На мой уточняющий вопрос, как они выполняют ФЗ, в котором очень много двойных и даже тройных толкований, он опять повторил, что они не трактуют, а выполняют ФЗ.
Так что остается только читать разные мнения, чтобы придти к своему ;-)
3.7.09
Архитектура безопасности банка
Совершенно забыл выложить эту презентацию, прочитанную в апреле. Посвящена она понятию "архитектура ИБ" применительно к банку или страховой компании.
ЗЫ. В основу этой презентации лег курс "Архитектура и стратегия информационной безопасности", который я читаю в ИБД АРБ. Правда курс рассматривает эту тему более глубоко и не является вендор-ориентированным.
ЗЫ. В основу этой презентации лег курс "Архитектура и стратегия информационной безопасности", который я читаю в ИБД АРБ. Правда курс рассматривает эту тему более глубоко и не является вендор-ориентированным.
2.7.09
Презентация из Китая ;-)
Чтобы место не пустовало, решил выложить свою презентацию, которую я читал в Китае. Посвящена была тому, что делать служдам ИБ в условиях кризиса. Отчасти она уже включает в себя презентации, которые я тут выкладывал, но есть и новые разделы.
ЗЫ. В конце немного рекламы моего работодателя. Издержки профессии ;-)
ЗЗЫ. Фото мои ;-)
Security And Crisis
View more presentations from lukatsky.
ЗЫ. В конце немного рекламы моего работодателя. Издержки профессии ;-)
ЗЗЫ. Фото мои ;-)