30.12.09

С наступающим Новым Годом и Рождеством!!!

Уважаемые коллеги, друзья, соратники!

Близятся праздники... Многие уже ушли в отпуска или сделают это уже завтра. Поэтому что тянуть и оттягивать поздравление с наступающими Новым Годом и Рождеством сейчас. Собственно и поздравляю ;-) Желаю всем благополучия внешнего и внутреннего, здоровья духовного и семейного, роста карьерного и зарплатного... Пусть все мечты сбываются. Пусть регуляторы не злоствуют, а интеграторы не жлобствуют. Пусть заказчики будут мудры, а законодатели разумны. Пусть в семьях будет мир, а дети растут на радость родителям!

И на этом, наверное, стоит закончить публикацию заметок в уходящем году

ЗЫ. От имени компании Cisco позвольте презентовать новогоднюю звуковую открытку ;-)

ЗЗЫ. Вернусь к творчеству 11-го января.

29.12.09

Что готовит нам 2010-й год с точки зрения ИБ?

Некие размышления о том, что нас ждет в России с точки зрения ИБ.

28.12.09

ActivIdentity покупает CoreStreet

14 декабря компания ActivIdentity объявила о покупке компании CoreStreet, специализирующейся на распределенной проверке идентификационных параметров. Стоимость сделки - около 20 миллионов долларов.

Новости с заседания Совета Федерации

Новостей по сути две. Во-первых, Совет Федерации одобрил законопроект о переносе сроков. Это приятно. Остается надеяться, что Президент РФ подпишет этот закон в ближайшие дни.

Вторая новость тоже может иметь приятные последствия. Понимая, что технические регламенты у нас принимаются с большим скрипом, Советом Федерации было принято решение предоставить возможность принимать технические регламенты на ведомственном уровне, а именно - нормативным правовым актом федерального органа исполнительной власти по техническому регулированию. Это позволит избежать длительных процедур согласования.

25.12.09

Как выбрать консультанта по ПДн?

Очень часто мне задают вопрос "Как выбрать консультанта/интегратора по приведению себя в соответствие с требованиями ФЗ-152?". Вопрос не простой, но есть простое решение, которое позволит отсечь явно некомпетентные компании. Первое. с чего стоит начать, проверить наличие кандидата на оказание вам услуг в реестре операторов ПДн. Учитывая, что все интеграторы заявляют, что уведомление в РКН посылать надо, то простое обращение к реестру РКН станет отличной проверкой того, интегратор действительно знает, что говорит или он просто вас запугивает, планируя стрясти побольше денег. Разумеется, это упрощенная схема, но она работает.

Год назад я уже поднимал эту тему, но с тех пор ничего не поменялось. Интеграторы как не регистрировались как операторы ПДн, так и не регистрируются, прекрасно понимая, какие проблемы это влечет за собой. Тогда какое они имеют право требовать этого от вас?

Вторым шагом по проверке компетентности консультанта/интегратора является затребование у него всех тех документов, которые он будет разрабатывать для вас - модели угроз, акты классификации, приказы, инструкции, руководства и т.д. Ведь он же должен был все это разработать для своей компании, как оператора ПДн. Причем требовать надо документы подписанные руководством консультанта/интегратора, а не просто шаблоны. В противном случае опять получается, что он будет предлагать вам то, что на себе не проверял и в реальной жизни может не работать.

Ну и третьим шагом является краткое собеседование с целью выяснить, какие варианты оптимизации ваших затрат предлагает консультант/интегратор. Из этой беседы вы сразу поймете, какую цель будет преследовать даже компетентная в области ПДн компания - помочь вам или "срубить бабла".

Как раз недавно анализировал документы одного такого интегратора, говоряего о себе, как о лидере рынка ПДн/ИБ. Но в реестре операторов ПДн его нет, подготовленные им документы явно неработоспособны в той компании, для которой они делались, и почти никаких рекомендаций по оптимизации. Зато набор рекомендаций стандартен - аттестация, лицензирование, использование сертифицированных СЗИ/СКЗИ (это для HP UX и каналов связи, работающих на скоростях 10 Гбит/сек) и т.д.

24.12.09

Годовой отчет Cnews по ИБ в России

Cnews опубликовала годовой отчет по российскому рынку ИБ "Средства защиты информации и бизнеса 2009". Несмотря на число 2009, отчет, выпущенный в декабре, посвящен 2008-му году. Не только увеличился срок выхода отчета (раньше он выходил летом или в начале осени), но и количество материалов сильно изменилось в меньшею сторону по сравнению с прошлогодней версией (19 против 47, не считая интервью). Видимо кризис коснулся не только рынка ИБ, но и писателей о нем ;-(

Из сколь-нибудь интересных материалов можно отметить следующие:
... пожалуй и все. Более ничто не заслужило моего внимания. Пожалуй, только сам рейтинг лидеров российского рынка ИБ. Он вызывает очень большое количество вопросов, как по цифрам, так и по игрокам. Во-первых, Информзащита сдала свои позиции Лете (с ежегодным ростом свыше 100%) и заняла почетное третье место.

Во-вторых, в список лидеров (на 4-ой позиции) попала компания R-Style с оборотом по информационной безопасности чуть-чуть уступающим показателям Информзащиты. Я могу сильно ошибаться, но кто-нибудь видел R-Style на этом рынке? Да еще с такими показателями? Что они указали в неаудированной никем отчетности как ИБ? Свой софт? Свои услуги по внедрению софта? Непонятно. Ситуация напоминает сообщение ФСТЭК о том, что она проверило 20000 операторов ПДн. Цифра есть, а верится с трудом.

Следующий ляп. В рейтинг попадает компания Астерос. Сразу на 6-е место. Годовой рост (по сравнению с 2007-м) 125%. Но вот на сайте компании Астерос почему-то указано, что она была образована только в декабре 2008-го года. Если вспомнить, что отчет Cnews опирается только на цифры 2008 года, то возникает закономерный вопрос: "Как компания появившаяся в декабре 2008-го года могла заработать в 2008-м году 900 миллионов рублей? И как она зарабатывала до момента своего создания" Нет ответа ;-(  Где Элвис+, СКБ Контур (в 2007-го оно был на 5-м месте в рейтинге), СоюзИнформ, Открытые технологии, IBS, Step Logic, Inline?.. А ведь они далеко не последние игроки этого рынка.К другим цифрам уже тоже начинаешь относиться скептически. И это не говоря про отсутствие информации о том, кто и как считал рынок ИБ...

В целом отчет вызывает неоднозначные чувства. Ведь хорошая задумка была (я сам был автором этого отчета на протяжении многих лет), но сдулось все...  А жаль.

23.12.09

InfoSecurity или ИнфоБезопасность: кому достался погибающий бренд?

Начну с предыстории: компания Reed Exhibitions владела и владеет правом на бренд InfoSecurity по всему миру. В лучшие свои годы она проводила 11 одноименных выставок в разных странах мира. 6 лет назад добралась она и до России. Совместно с компанией РЭСТЕК Reed и проводил InfoSecurity Russia в Москве. И вот в конце ноября ситуация кардинально поменялась. Reed решил "уйти" от РЭСТЕК и отдал право организовывать выставку (а также StorageExpo и Documation, которые держались только за счет проведения одновременно с InfoSecurity) известному издательству Гротек, который помимо журналов проводит и различные конференции - "Персональные данные", FinSec, SecuTrans, SecuRetail, Security Director и т.д. РЭСТЕК, вложивший в развитие бренда в России 6 лет, с таким положением дел не согласился и решил проводить свое мероприятие по безопасности. Не долго думая, назвал он его ИнфоБезопасность.

В понедельник и вторник мне довелось поучаствовать в координационных заседаниях обоих организаторов. Если не учитывать разные лица и разные места проведения, все остальное было до боли похожим. Закуска вначале, слова организаторов о том, что "мы будем лучше, чем они" и что "в следующем году будет лучше, чем в предыдущем", по окончании фуршет. Как под копирку ;-( На конкретные вопросы "чем лучше", "что изменится", "почему выбрать вас, а не других", четких ответов не последовало ни от одной стороны, что удручает.

При этом договариваться стороны не готовы (или не хотят). За спиной одних - бренд InfoSecurity, у других - 6 лет ее организации. В итоге все выливается в банальную войну двух организаторов, у каждого из которых есть и плюсы и минусы. А пострадают и экспоненты, которые не смогут платить за участие в обоих выставках сразу, и посетители, которые не смогут посетить две выставки, проходящие с разницей в месяц.

Могу предречь, что учитывая эту ситуацию, в 2010-м году в России не будет адекватной выставки по безопасности - не собирут они такой же аудитории, что одна выставка. В отличие от конференций, которых будет немало (предварительный список я уже кидал).

ЗЫ. InfoSecurity от Гротека пройдет 17-19 ноября (видимо параллельно с межотраслевым форумом директоров по безопасности), а ИнфоБезопасность от РЭСТЕКа - 5-7 октября. У РЭСТЕКа место традиционное - ЭкспоЦентр (удачный для выставок и неприспособленный для конференций). У Гротека место еще не выбрано - это будет либо Крокус (26 декабря туда пускают метро), либо Сокольники.

ЗЗЫ. РЭСТЕК планирует параллельно с ИнфоБезопасность, проводить и Business Continuity Russia.

ЗЗЗЫ. Пока деталей по обоим выставкам нет - только общие слова и заявления. Оба организатора обещают, что в январе начнут активно работать и привлекать бойцов на свои стороны. Посмотрим...

22.12.09

Список мероприятий по ИБ на 2010 год

Составил предварительный список крупных отечественных мероприятий по ИБ на 2010 год. Может кому пригодится.

Крупные мероприятия по информационной безопасности на 2010 год

21.12.09

Среда лактозо-хелато-цитратно-желточная для хранения спермы жеребцов

Правительство РФ приняло новое постановление от 1 декабря 2009 г. N 982 "Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии".

Согласно этому ПП-982 теперь существует единый перечень всех товаров, которые подлежат обязательной сертификации... исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании", т.е. средства защиты информации ограниченного доступа. И если раньше отсутствие упоминания этого исключения позволяло на законных основаниях не сертифицировать средства защиты, то сейчас таких основания стало на одно меньше.

ЗЫ. А причем тут "среда лактозо-хелато-цитратно-желточная для хранения спермы  жеребцов", вынесенная в заголовок? А это как раз один из видов продукции, отнесенный к обязательному декларированию соответствия ;-) Просто понравилось словосочетание.Особенно его звучание ;-)

18.12.09

Новая версия курса по персональным данным

Новая версия курса по персональным данным пополнилась следующими темами:
  • рекомендации СоДИТ и 4CIO
  • нормативные документы по ПДн Рособрнауки и Минсоцздрава
  • регламент проверок ФСБ
  • сводный план проверок / приказ Генпрокуратуры об исполнении ФЗ-294
  • типичные "ошибки" интеграторов при разработке документов по ПДн для своих заказчиков
  • новый вариант классификации ИСПДн
  • практические рекомендации работы с ПДн при директ-маркетинге и оформлении платежных поручений в банке и аналогичных организациях
  • типичные нарушения, обнаруживаемые в процессе проверок Роскомнадзора (ФСТЭК и ФСБ)
  • проекты отраслевых стандартов по ПДн для банков и операторов связи
  • алгоритм действий по приведению себя в соответствие (для чайников)
  • блок-схемы оптимизации для всех ключевых сценариев, рассматриваемых в курсе (около 20-ти)
  • психология персональных данных (как люди относятся к своим ПДн на словах и на деле).

В этом году этот курс уже читаться не будет, но впереди еще целый год, в котором этот курс читаться будет неоднократно.

17.12.09

Изменения в закон о техническом регулировании

Президент России Дмитрий Медведев на основании пункта "г" ст.84 Конституции Российской Федерации внес в Государственную думу проект федерального закона "О внесении изменений в федеральный закон "О техническом регулировании".

Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации. Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой - на требованиях иностранных технических регламентов (директив) и стандартов.

Текст законопроекта на сайте ГосДумы.

16.12.09

Законопроект о переносе принят

ГосДума приняла законопроект о переносе сроков в третьем чтении.

14.12.09

Второе и третье чтения законопроекта о переносе сроков ФЗ-152

Итак, 11-го декабря законопроект Резника о переносе сроков и исключении пункта об обязательности криптографии был принят во втором чтении. 16-го декабря намечено третье чтение.

10.12.09

Не про безопасность, но в предверии Нового Года

В последнее время все мы гонимся куда-то зачем-то... выполнить ФЗ-152, внедрить решения по борьбе с утечками, купить сертифицированные решения по ИБ, классифицировать свою информацию... И у нас не остается времени остановиться и посмотреть вокруг...



ЗЫ. Навеяло...

9.12.09

Опубликован ежегодный отчет Cisco по информационной безопасности

8 декабря 2009 года Cisco опубликовала свой ежегодный отчет об информационной безопасности. В этом документе подчеркивается влияние социальных медиасистем (в частности, социальных сетей) на сетевую безопасность и говорится о том, что наиболее привлекательные возможности для киберпреступников создают люди, а не технологии. В отчете также названы победители конкурса Cisco® Cybercrime Showcase за 2009 год и комментируются тенденции в области облачных вычислений, спама и общей активности киберпреступников на мировой арене, с которыми продолжают сталкиваться специалисты по информационным технологиям.

Полную версию отчета можно посмотреть тут...

4.12.09

Четвертая редакция стандарта Банка России

Исходные данные следующие:
1. Есть шестикнижие по ПДн от ФСТЭК и ФСБ.
2. Есть собственные методики проверки у ФСТЭК и ФСБ.
3. Есть СТО БР ИББС.
4. Есть собственная методика оценки соответствия СТО БР ИББС.

Задача: Как совместить все эти 4 исходных элемента в непротиворечивом документе?

Ответ: Новая редакция стандарта СТО БР ИББС-1.0, которая и должна включать в себя новый блок требований/рекомендаций, связанных с защитой персональных данных. Проект этого стандарта будет рассматриваться в 7-го декабря на ПК 3 Технического Комитета 362.

IBM покупает Guardium

Компания IBM анонсирует покупку Guardium, - компании, специализирующейся на защите баз данных. Детали сделки не разглашаются.

3.12.09

Презентация с семинара RISSPA

Во вторник прошел очередной семинар RISSPA, где я прочитал коротенькую презу "Что стоит на повестке дня CISO в 2010-м году". Как всегда, выкладываю ее здесь.


Все остальные презентации можно посмотреть либо на сайте RISSPA, либо прослушать запись всего семинара через Cisco WebEx.

Утверждены рекомендации Парламентских слушаний

Рекомендации не раз упомянутых парламентских слушаний были утверждены и начали реализовываться в Государственной Думе. Про сдвиг сроков уже все знают. Остальные, очень здравые рекомендации указаны в документе, выложенном на сайте Госдумы.

2.12.09

Перенос сроков по ФЗ-152: второе и третье чтения

Я уже писал, что законопроект о переносе сроков принят в первом чтении. На следующей неделе (в среду и пятницу) планируются второе и третье чтения по переносу сроков ФЗ-152.

ЗЫ. Также несколько дней назад в ФЗ-152 были внесены изменения (закон опубликован 27.11.2009) в части реадмиссии.

1.12.09

Интересный вариант классификации ИСПДн

Лежит у меня перед глазами акт классификации одной ИСПДн, подготовленный крупным ИТ/ИБ-интегратором для одного своего заказчика. На каких исходных данных строился данный акт? Категория ПДн - 3, значение ПДн - 1. Какой итоговой класс должен быть у ИСПДн? Если следовать п.15 "Приказа трех", то класс будет К2. Ан нет... Интегратор, являющийся лицензиатом ФСТЭК и называющий себя одним из лидеров рынка защиты ПДн в России, классифицировал систему не по п.15, а по п.14, т.е. опирался на ущерб субъектам ПДн. Он здраво посчитал, что ущерб субъектам будет незначительным и поэтому класс ИСПДн будет... К3. Вот такой интересный поворот. И написано, казалось бы в приказе одно, а вывод лицензиат делает другой. А учитывая, что ФСТЭК на своих мероприятиях говорила, что все, что делают лицензиаты, делается "от имени и по поручению", то вариант становится вполне себе интересным.

ЗЫ. В начале ноября клуб 4CIO провел конференцию "152 ФЗ - основные ловушки и способы разминирования". Материалы выложены на сайте. Там же дана ссылка на методическое пособие, которое 4CIO разработал для своих членов в части облегчения бремени выполнения ФЗ-152.