26 августа прошло (и еще на сайте Минсвязи) заседание Научно-технического совета при Минсвязи, посвященное проблематике ПДн (и еще один комментарий). Итог неутешительны ;-( Все признают, что ФЗ-152 не соответствует Евроконвенции, что его выполнить невозможно, что регуляторы создали очередной коруппциогенный нормативный акт. Но делать ничего не хотят ;-( Сроки переносить не планируют (пока).
Мне "понравился" следующий пассаж: "По итогам заседания участники секции решили подготовить предложения по дальнейшему анализу имеющихся противоречий нормативных правовых актов, регулирующих сферу персональных данных". До начала массовых проверок остается 3 месяца, а наши регуляторы будут и дальше искать противоречия, которых и так на НТС было приведено немало.
Роскомнадзор создаст очередную структуру с непонятной целью - Консультативный совет при уполномоченном органе по защите прав субъектов персональных данных. ФСТЭКу "рекомендовали продолжить работу по разъяснению реализации требований по защите персональных данных". Продолжить работу? Они что, ее начинали?
В итоге того, что ждали от НТС, так и не произошло ;-(
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
28.8.09
Сколько денег на безопасность достаточно?
Вопрос, которым часто задается топ-менеджмент при финансировании проектов по ИБ? И казалось бы, что универсального ответа на него нет. Оказывается это не так.
Одной из первых работ по данной теме явилось исследование Лоуренса Гордона и Мартина Леба (The Economics of Information Security Investment, ACM Transactions on Information and System Security, Vol. 5, No. 4, стр. 438-457), которые в 2002 году опубликовали модель оценки оптимального уровня инвестиций в ИБ исходя из стоимости защищаемой информации. По их мнению, этот уровень должен быть равен 36.8%. Правда у данной модели есть одна сложность - мы должны оценить стоимость защищаемой информации. Но это дело поправимое ;-)
Вот такая интересная и очень полезная в жизни служб ИБ модель. Правда, тремя годами позже, Жан Виллемсон из Эстонии показал, что оптимальный уровень инвестиций может быть и выше, согласившись при этом с правильно выбранным Гордоном и Лебом подходом. В 2005-м Деррик Хуанг из атлантического университета Флориды дополнил модель Гордона-Леба профилем риска человека, принимающего решение об уровне инвестиций в ИБ, и все сразу встало на свои места.
Можно ли утверждать, что уровень затрат в 36.8% - действительно оптимальный? Четкого ответа, особенно ввиду исследования Виллемсона, пока нет. Но модель Гордона-Леба положила начало активному применение экономики и смежных наук в области информационной безопасности. Мы сейчас только в начале пути...
ЗЫ. "Любители изучают криптографию. Профессионалы изучают экономику". Алан Шиффман, 2 июля 2004 г.
Одной из первых работ по данной теме явилось исследование Лоуренса Гордона и Мартина Леба (The Economics of Information Security Investment, ACM Transactions on Information and System Security, Vol. 5, No. 4, стр. 438-457), которые в 2002 году опубликовали модель оценки оптимального уровня инвестиций в ИБ исходя из стоимости защищаемой информации. По их мнению, этот уровень должен быть равен 36.8%. Правда у данной модели есть одна сложность - мы должны оценить стоимость защищаемой информации. Но это дело поправимое ;-)
Вот такая интересная и очень полезная в жизни служб ИБ модель. Правда, тремя годами позже, Жан Виллемсон из Эстонии показал, что оптимальный уровень инвестиций может быть и выше, согласившись при этом с правильно выбранным Гордоном и Лебом подходом. В 2005-м Деррик Хуанг из атлантического университета Флориды дополнил модель Гордона-Леба профилем риска человека, принимающего решение об уровне инвестиций в ИБ, и все сразу встало на свои места.
Можно ли утверждать, что уровень затрат в 36.8% - действительно оптимальный? Четкого ответа, особенно ввиду исследования Виллемсона, пока нет. Но модель Гордона-Леба положила начало активному применение экономики и смежных наук в области информационной безопасности. Мы сейчас только в начале пути...
ЗЫ. "Любители изучают криптографию. Профессионалы изучают экономику". Алан Шиффман, 2 июля 2004 г.
27.8.09
Безопасность и юзабилити
Вчера я писал про статью о юзабилити в безопасности, а сегодня решил выложить свою старую презентацию по этой теме (от 2007-го года).
26.8.09
Комфортность работы и сфера информационной безопасности
Для Connect'а недавно готовил статью про комфортность работы пользователя со средствами защиты и как такое понятие, как "юзабилити", влияет на уровень защищенности компании.
"Информационная безопасность (ИБ), раньше находившаяся в тени и слывшая «черным ящиком» во многих компаниях, чуть больше года назад вышла на первый план, когда сотрудники столкнулись с тем, что их доступ к «одноклассникам» был закрыт на средствах защиты Интернет-периметра. Отношение рядовых пользователей к информационной безопасности, и без того не самое лучшее, только ухудшилось, в очередной раз высветив до сих пор нерешенную проблему с комфортностью и удобством работы, которым и мешает ИБ.
Концентрируясь на себе и своей деятельности, службы ИБ обычно забывают про такое понятие, как stakeholder, т.е. заинтересованное лицо, которых с точки зрения ИБ может быть несколько. Внутри компании – это, как минимум, 7 представителей разных подразделений, «кровно» заинтересованных в безопасности, – специалист по ИБ, специалист по ИТ, юрист, кадровик, специалист внутреннего контроля или внутренний аудитор, топ-менеджер и рядовой пользователь. В зависимости от деятельности предприятия немалую роль могут приобретать и внешние заинтересованные лица – клиенты, партнеры и поставщики и даже регуляторы. И каждый из них по-разному смотрит на ИБ и по-разному ее оценивает. Не рассматривая все эти категории, коснемся только одной из них – рядовых пользователей.
Для обычного пользователя это в первую очередь комфорт от выполнения ежедневных операций, которым не должны мешать различные защитные механизмы и мероприятия. Об этом часто забывают, но именно от этого зависит отношение к ИБ в компании. Насколько пользователи готовы соблюдать те требования, которые выпускают «безопасники» и насколько пользователи будут следовать им, а не пытаться обойти? Система ИБ, построенная в соответствии с правильно выбранной архитектурой, будет способствовать росту продуктивности сотрудников, а не снижать ее. Именно эта точка зрения на архитектуру не позволяет сбрасывать со счетов такое понятие, как удобство пользования ИБ (security usability), которым часто пренебрегают разработчики средств защиты и которое почти никогда не учитывается при выборе тех или иных технических или организационных решений. В эту же точку зрения ложится известный конфликт между рядовыми сотрудниками и службой безопасности. Что важнее – интересы предприятия или различные права - на тайну, на доступ к информации, дарованные каждому гражданину Конституцией и федеральным законодательством?
Какие элементы удобства и комфортности имеют важнейшее значение для пользователей? Ключевых из них три:
ЗЫ. Я уже обращался к этой теме пару лет назад и вот вновь решил вернуться к ней.
"Информационная безопасность (ИБ), раньше находившаяся в тени и слывшая «черным ящиком» во многих компаниях, чуть больше года назад вышла на первый план, когда сотрудники столкнулись с тем, что их доступ к «одноклассникам» был закрыт на средствах защиты Интернет-периметра. Отношение рядовых пользователей к информационной безопасности, и без того не самое лучшее, только ухудшилось, в очередной раз высветив до сих пор нерешенную проблему с комфортностью и удобством работы, которым и мешает ИБ.
Концентрируясь на себе и своей деятельности, службы ИБ обычно забывают про такое понятие, как stakeholder, т.е. заинтересованное лицо, которых с точки зрения ИБ может быть несколько. Внутри компании – это, как минимум, 7 представителей разных подразделений, «кровно» заинтересованных в безопасности, – специалист по ИБ, специалист по ИТ, юрист, кадровик, специалист внутреннего контроля или внутренний аудитор, топ-менеджер и рядовой пользователь. В зависимости от деятельности предприятия немалую роль могут приобретать и внешние заинтересованные лица – клиенты, партнеры и поставщики и даже регуляторы. И каждый из них по-разному смотрит на ИБ и по-разному ее оценивает. Не рассматривая все эти категории, коснемся только одной из них – рядовых пользователей.
Для обычного пользователя это в первую очередь комфорт от выполнения ежедневных операций, которым не должны мешать различные защитные механизмы и мероприятия. Об этом часто забывают, но именно от этого зависит отношение к ИБ в компании. Насколько пользователи готовы соблюдать те требования, которые выпускают «безопасники» и насколько пользователи будут следовать им, а не пытаться обойти? Система ИБ, построенная в соответствии с правильно выбранной архитектурой, будет способствовать росту продуктивности сотрудников, а не снижать ее. Именно эта точка зрения на архитектуру не позволяет сбрасывать со счетов такое понятие, как удобство пользования ИБ (security usability), которым часто пренебрегают разработчики средств защиты и которое почти никогда не учитывается при выборе тех или иных технических или организационных решений. В эту же точку зрения ложится известный конфликт между рядовыми сотрудниками и службой безопасности. Что важнее – интересы предприятия или различные права - на тайну, на доступ к информации, дарованные каждому гражданину Конституцией и федеральным законодательством?
Какие элементы удобства и комфортности имеют важнейшее значение для пользователей? Ключевых из них три:
- Скорость осуществления бизнес-операций
- Дружественный интерфейс
- Прозрачность разграничение доступа".
ЗЫ. Я уже обращался к этой теме пару лет назад и вот вновь решил вернуться к ней.
25.8.09
Экономическая оценка инвестиционной привлекательности проектов по ИБ
По просьбе журнала Connect я подготовил статью про подходы к экономической оценке эффективности системы обеспечения ИБ предприятия. Вот введение к ней:
"Сегодня, в условиях нестабильной экономической ситуации, начинают меняться взгляды на информационную безопасность (ИБ). С одной стороны, многие отечественные производители средств защиты в интервью и с большой трибуны заявляют, что кризис на затронул и не затронет рынок ИБ, что заказчики не сокращают данную статью расходов, что требования регуляторов все равно надо выполнять и т.д. Но в кулуарах или на закрытых мероприятиях все признают, что эпоха изобилия кончилась, что заказчики замораживают или урезают бюджеты и что жить по старому становится все тяжелее. Да и сами заказчики не скрывают, что условия игры поменялись – их руководство уже не готово тратить миллионы не глядя, на проекты, отдача от которых неочевидна или видна только в долгосрочной перспективе. Что же делать? Как вести себя в такой ситуации?
Рецепт успеха известен давно – использование экономических обоснований для ИБ-проектов, демонстрирующих не столько затраты, сколько выгоды, получаемые организацией от внедрения той или иной системы защиты, того или иного процесса. Именно в этом и заключается основная сложность. И «ингредиенты» известны, и способ «готовки»… Но как это все применить именно к теме ИБ? Попробуем разобраться. Но для начала наметим список вопросов, которые обычно и требуют ответа на языке финансов:
ЗЫ. Журнал должен выйти в сентябре, к InfoSecurity Russia 2009.
ЗЗЫ. Эти же вопросы я рассматриваю и в курсе "Измерение информационной безопасности".
"Сегодня, в условиях нестабильной экономической ситуации, начинают меняться взгляды на информационную безопасность (ИБ). С одной стороны, многие отечественные производители средств защиты в интервью и с большой трибуны заявляют, что кризис на затронул и не затронет рынок ИБ, что заказчики не сокращают данную статью расходов, что требования регуляторов все равно надо выполнять и т.д. Но в кулуарах или на закрытых мероприятиях все признают, что эпоха изобилия кончилась, что заказчики замораживают или урезают бюджеты и что жить по старому становится все тяжелее. Да и сами заказчики не скрывают, что условия игры поменялись – их руководство уже не готово тратить миллионы не глядя, на проекты, отдача от которых неочевидна или видна только в долгосрочной перспективе. Что же делать? Как вести себя в такой ситуации?
Рецепт успеха известен давно – использование экономических обоснований для ИБ-проектов, демонстрирующих не столько затраты, сколько выгоды, получаемые организацией от внедрения той или иной системы защиты, того или иного процесса. Именно в этом и заключается основная сложность. И «ингредиенты» известны, и способ «готовки»… Но как это все применить именно к теме ИБ? Попробуем разобраться. Но для начала наметим список вопросов, которые обычно и требуют ответа на языке финансов:
- Во сколько обойдется этот проект?
- Выгоден ли этот ИБ-проект?
- Сколько надо инвестировать в этот ИБ-проект?
- Почему именно столько? Дешевле нельзя?
- Через сколько времени окупится этот проект?
- Какой продукт из двух дешевле? А выгоднее?"
ЗЫ. Журнал должен выйти в сентябре, к InfoSecurity Russia 2009.
ЗЗЫ. Эти же вопросы я рассматриваю и в курсе "Измерение информационной безопасности".
24.8.09
ФАС опять регулирует рынок безопасности
Я уже писал про дело челябинской компании, подавшей жалобу в ФАС на действия Лаборатории Касперского. Последняя отбилась от претензий антимонопольщиков, обосновав законность своей схемы продаж. На сайте ФАС есть и еще одна новость про ЛК. Она, якобы, не до конца раскрыла группу лиц, в которую входит Лаборатория Касперского.
И вот снова ФАС в центре событий. Информзащита подала жалобу в ФАС на Dr.Web. С одной стороны суть жалобы похожа на челябинский конфликт ЛК, а с другой Информзащита утверждает, что конфликт возник на совершенно иной почве. Dr.Web считает, что Информзащита столкнулась с проблемами в бизнесе и таким образом пытается решить их. Независимые эксперты считают, что речь идет о проигранном тендере. Все ждут решения ФАС...
И вот снова ФАС в центре событий. Информзащита подала жалобу в ФАС на Dr.Web. С одной стороны суть жалобы похожа на челябинский конфликт ЛК, а с другой Информзащита утверждает, что конфликт возник на совершенно иной почве. Dr.Web считает, что Информзащита столкнулась с проблемами в бизнесе и таким образом пытается решить их. Независимые эксперты считают, что речь идет о проигранном тендере. Все ждут решения ФАС...
21.8.09
1-е октября 2009-го года. Апокалипсис безопасности?
Чуть больше месяца осталось до 1-го октября. Что ждет нас в этот день? Оказывается целая куча серьезных мероприятий по ИБ:
ЗЫ. Интересно, как такие накладки вообще были допущены?
- Конференция "DLP Russia 2009"
- Конференция InfoSecurity Russia 2009 (последний день)
- Конференция Гротека "Персональные данные"
- Конференция "Непрерывность бизнеса – новое требование или объективная необходимость?"
- Ну и до кучи "ИТ в страховом бизнесе" (не по ИБ, но страховщики-айтишники скорее пойдут на профильную конференцию, чем на общую).
ЗЫ. Интересно, как такие накладки вообще были допущены?
20.8.09
19.8.09
18.8.09
Стоит ли сообщать клиентам об утечках их данных?
В США, в каждом штате существуют законы, обязывающие компании, пострадавшие от утечек данных, сообщать об этом факте пользователям, чьи данные утекли. Правильно это или нет? Стоит ли следовать этой практике и у нас, как об этом часто говорят на разных конференциях? Если отбросить логику и обратиться к цифрам, то ответ опять будет не таким очевидным.
Смотрю отчет "Do Data Breach Disclosure Laws Reduce Identity Theft?", в котором эксперты проанализировали, как принятые законы повлияли на число утечек и повлияло ли вообще. И вывод неутешительный. За период с 2002 года и по 2007-й число утечек снизилось... всего на 2%. Так стоит ли овчинка выделки?
Правда, исследователи выделяют, что такого рода законы могут нести косвенные преимущества в виде:
Есть у меня стойкое подозрение, что ФЗ-152 из той же серии. На число утечек персональных данных он никак не влияет, а вот проблем для семи миллионов операторов ПДн прибавилось немало. А косвенные преимущества могли быть достигнуты и иными методами.
Смотрю отчет "Do Data Breach Disclosure Laws Reduce Identity Theft?", в котором эксперты проанализировали, как принятые законы повлияли на число утечек и повлияло ли вообще. И вывод неутешительный. За период с 2002 года и по 2007-й число утечек снизилось... всего на 2%. Так стоит ли овчинка выделки?
Правда, исследователи выделяют, что такого рода законы могут нести косвенные преимущества в виде:
- роста осведомленности клиентов и самих компаний в области ИБ
- снижение усредненной суммы одной утечки
- рост уровня защищенности компаний
- улучшение операционной практики ИБ.
Есть у меня стойкое подозрение, что ФЗ-152 из той же серии. На число утечек персональных данных он никак не влияет, а вот проблем для семи миллионов операторов ПДн прибавилось немало. А косвенные преимущества могли быть достигнуты и иными методами.
17.8.09
Имеет ли право производитель ИБ устанавливать цены на свои продукты?
Казалось бы парадоксальный вопрос, но отечественная ФАС именно его и задала, возбудив дело против Лаборатории Касперского (а в будущем, может быть, и против Dr.Web). Суть дела проста - компания, не являющаяся партнером ЛК, выиграла в тендере на поставку антивируса Касперского, но не смогла ее осуществить, т.к. ЛК отказалась предоставлять свой продукт не-партнеру. ФАС решила, что отказ ЛК является нарушением конкуренции и ЛК обязана продавать свои продукты любой компании, причем не имеет права устанавливать единую рекомендованную розничную цену.
Я давал CNews комментарий по этому поводу, но они почему-то отказались его публиковать. Так что публикую здесь (не пропадать же тексту ;-)
У многих производителей программного обеспечения существует классическая схема поставки своих продуктов потребителям: производитель - дистрибутор - партнер - потребитель". Основная задача дистрибутора - формирование партнерской сети, через которую и осуществляются все продажи. Сами дистрибуторы не должны продавать товар напрямую клиенту - это ставит остальных партнеров в невыгодное положение. При этом цена, выставляемая производителем, как правило, едина для партнеров одного уровня иерархии. В противном случае возникает недобросовестная конкуренция, т.к. производитель выделяет одного из равных партнеров больше чем других, изначально ставя последних в невыгодные условия.
Дальше больше. Цена, по которой партнеры могут поставлять продукт потребителю тоже должна быть единой для всех партнеров. Это будет залогом того, что партнеры не начнут демпинговые войны в ущерб всем участникам рынка (и себе в том числе). И этот же подход позволяет уйти от порочной практики дифференциации партнеров только по ценам. Как и рекомендуют делать все гуру маркетинга и управления бизнесом. Единая цена заставляет партнеров выделяться в совершенно иных областях, сопутствующих продаже продукта, - сервисе, консалтинге, обучении и т.п. Если же ФАС вынесет решение не в пользу "единой цены", то потенциальные проблемы ждут любого производителя, который практикует такое понятие, как "рекомендованная цена". Потому что это понятие и означает единую цену для всех поставщиков этого производителя.
ЗЫ. Недавно ФАС аналогичное дело против Danon возбудило. Суть таже - магазины не имеют права продавать йогурты Danon по единой цене. ФАС считает, что это сговор.
Я давал CNews комментарий по этому поводу, но они почему-то отказались его публиковать. Так что публикую здесь (не пропадать же тексту ;-)
У многих производителей программного обеспечения существует классическая схема поставки своих продуктов потребителям: производитель - дистрибутор - партнер - потребитель". Основная задача дистрибутора - формирование партнерской сети, через которую и осуществляются все продажи. Сами дистрибуторы не должны продавать товар напрямую клиенту - это ставит остальных партнеров в невыгодное положение. При этом цена, выставляемая производителем, как правило, едина для партнеров одного уровня иерархии. В противном случае возникает недобросовестная конкуренция, т.к. производитель выделяет одного из равных партнеров больше чем других, изначально ставя последних в невыгодные условия.
Дальше больше. Цена, по которой партнеры могут поставлять продукт потребителю тоже должна быть единой для всех партнеров. Это будет залогом того, что партнеры не начнут демпинговые войны в ущерб всем участникам рынка (и себе в том числе). И этот же подход позволяет уйти от порочной практики дифференциации партнеров только по ценам. Как и рекомендуют делать все гуру маркетинга и управления бизнесом. Единая цена заставляет партнеров выделяться в совершенно иных областях, сопутствующих продаже продукта, - сервисе, консалтинге, обучении и т.п. Если же ФАС вынесет решение не в пользу "единой цены", то потенциальные проблемы ждут любого производителя, который практикует такое понятие, как "рекомендованная цена". Потому что это понятие и означает единую цену для всех поставщиков этого производителя.
ЗЫ. Недавно ФАС аналогичное дело против Danon возбудило. Суть таже - магазины не имеют права продавать йогурты Danon по единой цене. ФАС считает, что это сговор.
14.8.09
Когнитивная психология - часть вторая
Что-то потянуло меня на изучение различных исследований в области ИБ ;-)
В среду обсуждали тему когнитивной психологии и числа запоминаемых паролей. В качестве решения проблемы было предложено использовать ассоциативные пароли, создаваемые на основе различных фраз и предложений. Например, из всем известной фразы "Мой дядя самых честных правил" можно составить пароль по первым буквам каждого слова фразы - "мдсчп" или "модясачепр" (по первым двум буквам). В прочитанном мной исследовании приводился такой пример - из фразы "Four score and seven years ago, our Fathers" появился пароль "4s&7ya,oF". Очень неплохой вариант со всех точек зрения... Но так ли это на самом деле?
Специалисты лаборатории CyLab университета Карнеги-Меллона выдвинули гипотезу, что люди будут выбирать публично известные фразы для создания мнемонических (ассоциативных) паролей - из фильмов, музыки, рекламы и т.п. Как следствие, возможно создание словарей таких фраз, облегчающих подбор пароля. Набрали 290 респондентов и попросили их выбрать себе ассоциативный пароль. Затем применили два вида атак - полным перебором и по словарю. Последний создавался путем анализа разных Web-сайтов (было собрано 249000 фраз и цитат).
Что выбирали люди? Чаще всего они использовали для ассоциаций музыку и литературу (примерно по 15%). На третьем месте - фильмы (10%). Четвертое - телешоу. Пятое - известные публичные речи (вроде "Борис, ты не прав" для тех, кто помнит).
А вот дальше было самое интересное - результаты атак ;-) Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей - в 4%. Прямой перебор помог тоже в 4% случаев (для обычных паролей - в 8%). Что мы видим? Ассоциативный метод не очень сильно увеличил защищенность системы аутентификации и не может считаться не то, что панацеей, но и реальным методом повышения уровня безопасности (сложность выше, а эффективность почти такая же). С течением времени этот метод станет только хуже:
ЗЫ. Название исследования "Human Selection of Mnemonic Phrase-based Passwords".
В среду обсуждали тему когнитивной психологии и числа запоминаемых паролей. В качестве решения проблемы было предложено использовать ассоциативные пароли, создаваемые на основе различных фраз и предложений. Например, из всем известной фразы "Мой дядя самых честных правил" можно составить пароль по первым буквам каждого слова фразы - "мдсчп" или "модясачепр" (по первым двум буквам). В прочитанном мной исследовании приводился такой пример - из фразы "Four score and seven years ago, our Fathers" появился пароль "4s&7ya,oF". Очень неплохой вариант со всех точек зрения... Но так ли это на самом деле?
Специалисты лаборатории CyLab университета Карнеги-Меллона выдвинули гипотезу, что люди будут выбирать публично известные фразы для создания мнемонических (ассоциативных) паролей - из фильмов, музыки, рекламы и т.п. Как следствие, возможно создание словарей таких фраз, облегчающих подбор пароля. Набрали 290 респондентов и попросили их выбрать себе ассоциативный пароль. Затем применили два вида атак - полным перебором и по словарю. Последний создавался путем анализа разных Web-сайтов (было собрано 249000 фраз и цитат).
Что выбирали люди? Чаще всего они использовали для ассоциаций музыку и литературу (примерно по 15%). На третьем месте - фильмы (10%). Четвертое - телешоу. Пятое - известные публичные речи (вроде "Борис, ты не прав" для тех, кто помнит).
А вот дальше было самое интересное - результаты атак ;-) Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей - в 4%. Прямой перебор помог тоже в 4% случаев (для обычных паролей - в 8%). Что мы видим? Ассоциативный метод не очень сильно увеличил защищенность системы аутентификации и не может считаться не то, что панацеей, но и реальным методом повышения уровня безопасности (сложность выше, а эффективность почти такая же). С течением времени этот метод станет только хуже:
- появятся более эффективные словари фраз, а не сделанные "на коленке" для теста
- пользователи будут выбирать самые популярные фразы, что равносильно выбору пароля по имени кошки, номеру паспорта и т.п. (вычисляется очень легко)
- тупик и стресс для пользователя, которого просят не использовать широко известные фразы (он просто ничего другого не вспомнит)
- популярность метода привлечет к его анализу большее число исследователей.
ЗЫ. Название исследования "Human Selection of Mnemonic Phrase-based Passwords".
13.8.09
Кто/что влияет на инвестиции в ИБ?
Вот сижу и смотрю интересное исследование, посвященное анализу стратегий инвестирования в ИБ. Оно конечно проводилось в США, но его выводы можно транслировать и на Россию. Как всем известно, основным драйвером инвестиций в ИБ внутри компаний является регулирование и законодательство. По данным отчета, этот драйвер оценивается в 30% от общего числа.
Второй, уже более интересный аспект касается того, что больше всего влияет на принятие решения об инвестициях в ту или иную технологию и проект ИБ. На первом месте находится мнение квалифицированного персонала, который знает, что лучше для компании. На втором месте - требования федерального или отраслевого законодательства. На третьем месте - результаты внутреннего аудита. Именно внутреннего. Результаты внешнего аудита оказались на одном из последних мест (всего в 12.5% организаций). Четвертое место по праву заняли данные, полученные от уже внедренных в компании систем защиты или от подразделений, ответственных за те или иные решения в данной области. В качестве таких данных могут быть отчеты Help Desk или бухгалтерии по срезу ИБ. Пятерку лидеров замыкают рекомендации и лучшие практики от NIST. На сегодня национальный институт стандартов США (аналог нашего Ростехрегулирования) выпустил свыше сотни документов, аккумулирующих лучшие практики по безопасности тех или иных аспектов. Все остальные аспекты, влияющие на инвестиции, учитываются в менее чем 25% организаций.
К чему это я все веду? Да к тому, что наши регуляторы могли бы пойти по пути NIST и вместо обязательных, но параноидальных требований "для всех" выпустить грамотные и полезные рекомендации. Они пользовались бы куда большей популярностью, да и эффект бы был для ФСТЭК более положительный. И с точки зрения репутации, и с точки зрения роста рынка, и с точки зрения финансовых вливаний в аккредитованные при ней организации ;-)
Второй, уже более интересный аспект касается того, что больше всего влияет на принятие решения об инвестициях в ту или иную технологию и проект ИБ. На первом месте находится мнение квалифицированного персонала, который знает, что лучше для компании. На втором месте - требования федерального или отраслевого законодательства. На третьем месте - результаты внутреннего аудита. Именно внутреннего. Результаты внешнего аудита оказались на одном из последних мест (всего в 12.5% организаций). Четвертое место по праву заняли данные, полученные от уже внедренных в компании систем защиты или от подразделений, ответственных за те или иные решения в данной области. В качестве таких данных могут быть отчеты Help Desk или бухгалтерии по срезу ИБ. Пятерку лидеров замыкают рекомендации и лучшие практики от NIST. На сегодня национальный институт стандартов США (аналог нашего Ростехрегулирования) выпустил свыше сотни документов, аккумулирующих лучшие практики по безопасности тех или иных аспектов. Все остальные аспекты, влияющие на инвестиции, учитываются в менее чем 25% организаций.
К чему это я все веду? Да к тому, что наши регуляторы могли бы пойти по пути NIST и вместо обязательных, но параноидальных требований "для всех" выпустить грамотные и полезные рекомендации. Они пользовались бы куда большей популярностью, да и эффект бы был для ФСТЭК более положительный. И с точки зрения репутации, и с точки зрения роста рынка, и с точки зрения финансовых вливаний в аккредитованные при ней организации ;-)
12.8.09
Когнитивная психология и максимальное число паролей у пользователя
Специалисты по когнитивной психологии утверждают, что среднестатистический человек может одновременной удерживать в памяти 5 вещей, гений - 7, а человек с посредственными умственными возможностями - не более трех.
Какой отсюда следует вывод? Учитывая, что почти нет компаний, в которых работают не то, чтобы одни гении, но и просто среднестатистические пользователи, а также то, что рассчитывать всегда надо на самое слабое звено, то число паролей у пользователя ко всем системам должно не быть не более трех. В противном случае, он их перестанет запоминать и будет записывать на бумажке или в телефоне. Что же делать?
Вариантов, как минимум, три, - технология SSO, аппаратный токен или ПО для хранения паролей.
ЗЫ. Это из курса "Психология, теория организации и ИБ".
Какой отсюда следует вывод? Учитывая, что почти нет компаний, в которых работают не то, чтобы одни гении, но и просто среднестатистические пользователи, а также то, что рассчитывать всегда надо на самое слабое звено, то число паролей у пользователя ко всем системам должно не быть не более трех. В противном случае, он их перестанет запоминать и будет записывать на бумажке или в телефоне. Что же делать?
Вариантов, как минимум, три, - технология SSO, аппаратный токен или ПО для хранения паролей.
ЗЫ. Это из курса "Психология, теория организации и ИБ".
11.8.09
Стоит ли сообщать злоумышленникам об уровне своей защищенности?
Вопрос, вынесенный в заголовок, не праздный. Более того, ответ на него не так прост как кажется. У многих специалистов сложилось впечатление, что, чем меньше злоумышленники знают об их системе защиты, тем выше ее эффективность. Сторонники движения security through obscurity часто ратуют за сохранение в тайне любой информации о том, какие меры и продукты защиты используются в организации. Но есть ли под этим какая-нибудь основа и рациональное зерно? Не миф ли это?
Оказывается все не так очевидно, как кажется многим. Более того, все совсем не так, как многим казалось раньше. 3 года назад, два специалиста - Марко Кремонини (Университет Милана) и Дмитрий Низовцев (Школа бизнеса Университета в Вашбурне, США) опубликовали результаты очень интересного исследования, выводы которого более чем интересны. Тем более, что опираются они на математику, а не просто на безосновательные "логические" заявления. Суть исследования "Understanding and Influencing Attackers’ Decisions: Implications for Security Investment Strategies" такова: при наличии альтернативы, злоумышленник не станет атаковать систему, об уровне защищенности которой он имеет хоть какую-то информацию. Разумеется, этот уровень должен быть ненулевым. Иными словами, Марки и Дмитрий доказывают, что поведение злоумышленников достаточно рационально и они не будут ломиться в дверь, о которой им известно, что она неприступна или обладает мощной защитой. А вот против организации, которая скрывает информацию о своей защищенности, плохие парни выйдут с большей вероятностью, т.к. рассчитывают, что скрывая состояние защищенности, компании есть чего опасаться.
Оказывается все не так очевидно, как кажется многим. Более того, все совсем не так, как многим казалось раньше. 3 года назад, два специалиста - Марко Кремонини (Университет Милана) и Дмитрий Низовцев (Школа бизнеса Университета в Вашбурне, США) опубликовали результаты очень интересного исследования, выводы которого более чем интересны. Тем более, что опираются они на математику, а не просто на безосновательные "логические" заявления. Суть исследования "Understanding and Influencing Attackers’ Decisions: Implications for Security Investment Strategies" такова: при наличии альтернативы, злоумышленник не станет атаковать систему, об уровне защищенности которой он имеет хоть какую-то информацию. Разумеется, этот уровень должен быть ненулевым. Иными словами, Марки и Дмитрий доказывают, что поведение злоумышленников достаточно рационально и они не будут ломиться в дверь, о которой им известно, что она неприступна или обладает мощной защитой. А вот против организации, которая скрывает информацию о своей защищенности, плохие парни выйдут с большей вероятностью, т.к. рассчитывают, что скрывая состояние защищенности, компании есть чего опасаться.
Изменение дизайна блога
Поднадоел немного старый дизайн "как у всех". Решил поэкспериментировать и персонализировать блог. Вот, что получилось ;-) Не знаю, пока не привык. "Не пойдет", так опять поменяю ;-)
10.8.09
Обезличивание персональных данных - практика
Уже не раз поднималась тема обезличивания персональных данных. Что это? Как делать? Как это понимает регулятор? Пока в России идут дискуссии, в США уже предложены алгоритмы обезличивания, защищаются диссертации, разрабатываются специальные инструменты для решения данной задачи. Самой известной является модель, получившая название k-anonymity и предложенная еще в 2002 году Латаньей Суинни.
Так что если среди вас есть разработчики, то эту модель можно попробовать реализовать в реальных проектах. Учитывая, что это математическая модель, эффективность которой доказана, то претензий к ее реализации у регуляторов быть не должно. В теории...
Так что если среди вас есть разработчики, то эту модель можно попробовать реализовать в реальных проектах. Учитывая, что это математическая модель, эффективность которой доказана, то претензий к ее реализации у регуляторов быть не должно. В теории...
8.8.09
Что общего между безопасностью и футболом?
Продолжая тему аналогий, выкладываю презентацию двухлетней давности о том, что общего между безопасностью и футболом ;-)
7.8.09
McAfee покупает MX Logic
30 июля McAfee анонсировала покупку частной компании MX Logic за 140 миллионов долларов. Последняя мало известна российскому потребителю. На Западе же она предлагает различные аутсорсинговые услуги безопасности или, как это стало модно, security-as-a-service (преимущественно в области электронной почты и Web).
Пока непонятно, будет ли предлагаться данная услуга в России? Да и с ее востребованностью тоже вопросы. Не готовы у нас пока потребители отдавать свою безопасность вовне - не доверяют они пока поставщикам таких сервисов.
Пока непонятно, будет ли предлагаться данная услуга в России? Да и с ее востребованностью тоже вопросы. Не готовы у нас пока потребители отдавать свою безопасность вовне - не доверяют они пока поставщикам таких сервисов.
Роскомнадзор: от ворот поворот
В Хабаровском крае опротестована проверка Роскомнадзора по линии персданных. Суть проста - Роскомнадзор без согласования с прокураторой (что требуется по новому ФЗ-294) провел внеплановую выездную проверку небольшой организации. Мотивация РКН была простая - защита прав потребителей. Прокуратора посчитала такой мотив некорректным. Тем самым в действиях Роскомнадзора было выявлено нарушение законодательства.
Интересен тот факт, что эта самая небольшая организация, которая обратилась в прокуратуру, действительно нарушила права субъекта ПДн. Вот такой парадокс ;-)
К слову сказать, я о таком сценарии развития событий рассказываю в курсе "Что скрывает законодательство о персональных данных?"А тут к нему еще и доказательство появилось.
ЗЫ. Приятно осознавать, что регуляторы у нас не всегда правы ;-)
Совет: Внимательно читайте ФЗ-294 - он является очень большим подспорьем в борьбе с незаконными (да и с законными тоже, если честно) проверками со стороны регуляторов.
Интересен тот факт, что эта самая небольшая организация, которая обратилась в прокуратуру, действительно нарушила права субъекта ПДн. Вот такой парадокс ;-)
К слову сказать, я о таком сценарии развития событий рассказываю в курсе "Что скрывает законодательство о персональных данных?"А тут к нему еще и доказательство появилось.
ЗЫ. Приятно осознавать, что регуляторы у нас не всегда правы ;-)
Совет: Внимательно читайте ФЗ-294 - он является очень большим подспорьем в борьбе с незаконными (да и с законными тоже, если честно) проверками со стороны регуляторов.
6.8.09
Использование генераторов шума требует не только отдельной лицензии, но и оплаты
Наверное многие из вас читали про, как минимум, два факта, когда Роскомнадзор запрещал эксплуатацию генераторов шума (требуются для ИСПДн 1-го и 2-го класса по требованиям ФСТЭК). Позиция Роскомнадзора, который давно уже нелестно отзывался о требованиях ФСТЭК, понятна: генератор шума - это радиочастотное устройство. На его эксплуатацию нужно разрешение Роскомнадзора. Нет разрешения РКН - использовать запрещено.
Забавная ситуация складывается - есть не то, чтобы противоречающие друг другу требования. Просто на эксплуатацию генератора шума вам теперь потребуется получать разрешение РКН... помимо лицензий ФСТЭК на ТЗКИ и лицензий ФСБ на шифрование.
Но и это не все ;-) В начале этого года депутат Горбачев В.Л. внес в Госдуму законопроект, вводящий плату за использование радиочастотного спектра. Она в общем-то и сейчас есть, но с принятием нового закона, внимание регулятора к этой теме будет усилено. А значит придется раскошелиться еще и на эксплуатацию генератора шума (помимо его стоимости и стоимости разрешения). Мужайтесь...
Забавная ситуация складывается - есть не то, чтобы противоречающие друг другу требования. Просто на эксплуатацию генератора шума вам теперь потребуется получать разрешение РКН... помимо лицензий ФСТЭК на ТЗКИ и лицензий ФСБ на шифрование.
Но и это не все ;-) В начале этого года депутат Горбачев В.Л. внес в Госдуму законопроект, вводящий плату за использование радиочастотного спектра. Она в общем-то и сейчас есть, но с принятием нового закона, внимание регулятора к этой теме будет усилено. А значит придется раскошелиться еще и на эксплуатацию генератора шума (помимо его стоимости и стоимости разрешения). Мужайтесь...
5.8.09
Куб МакКамбера
Вот интересно, кто из читателей блога, знает, что такое "куб МакКамбера" (McCumber cube)?
Это понятие появилось еще в 91-м году и оно определяет целостную модель для информационной безопасности, описанную Джоном МакКамбером.
Суть этой концепции достаточно проста - три измерения куба отображают три ключевых направления ИБ:
И хотя данная концепция все-таки не связывает ИБ с бизнесом (в 91-м году об этом мало кто думал), она в простой и понятной форме объясняет, что безопасность не ограничивается только техническими мерами.
ЗЫ. Надо признать, что мне в институте эту модель не преподавали и в какой-либо прессе я ее не встречал.
Это понятие появилось еще в 91-м году и оно определяет целостную модель для информационной безопасности, описанную Джоном МакКамбером.
Суть этой концепции достаточно проста - три измерения куба отображают три ключевых направления ИБ:
- цель безопасности (классическая триада - конфиденциальность, целостность и доступность)
- состояние информации (обработка, хранение, передача)
- защитные меры (персонал, политики и практики, технологии).
И хотя данная концепция все-таки не связывает ИБ с бизнесом (в 91-м году об этом мало кто думал), она в простой и понятной форме объясняет, что безопасность не ограничивается только техническими мерами.
ЗЫ. Надо признать, что мне в институте эту модель не преподавали и в какой-либо прессе я ее не встречал.
4.8.09
WatchGuard покупает BorderWare
Компания WatchGuard анонсировала приобретение частной канадской компании BorderWare Technologies, работающей на рынке борьбы с угрозами для Web и E-mail для предприятий среднего размера, а также известной на рынке Managed Security Services.
Что общего между безопасностью и автомобилем
Читая комментарии к заметке о "кляче, телке и безопасности", вспомнил, что около 3-х лет назад делал презентацию на тему "Что общего между автомобилем и информационной безопасностью?". Вот и решил ее выложить сюда ;-)
PS. Почему презентация называется "South Africa"? Просто я ее читал там ;-)
PS. Почему презентация называется "South Africa"? Просто я ее читал там ;-)
3.8.09
IBM покупает Ounce Labs
28-го июля голубой гигант объявил о приобретении компании Ounce Labs, занимающейся анализом защищенности исходного кода приложений. Продукты приобретенной компании войдут в семейство Rational AppScan. Детали сделки не разглашаются.
Интеграция ИБ в процесс инвестирования и бюджетирования
Национальный институт стандартизации США выпустил интересный документ (пока проект) - NIST SP 800-65 "Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process". И хотя документ ориентирован на американские госсорганы, обязанные выполнять требования FISMA, он может быть полезен и у нас. Правда, в первую очередь, для средних и крупных компаний, где процессы бюджетирования и инвестирования более-менее формализованы.