31.5.10

Презентация "Измерение эффективности ИБ"

В пятницу я выступал на отличном мероприятии в Казани - IT & Security Forum. Тема презентации была посвящена вновь измерению эффективности ИБ. По сути только сейчас удалось создать некую рамочную модель любого измерения в ИБ. Достаточно определить четыре ключевых элемента - что такое ИБ, что такое эффективность, что такое измерение и какие цели ИБ мы хотим достичь. Ответив на эти 4 вопроса, мы получаем возможность измерить практически все, что угодно в области ИБ, включая и многие финансовые вопросы. Вот этой рамочной модели и была посвящена моя презентация.

28.5.10

Новости ФСТЭК

3 июня планируется совещание во ФСТЭК с участием представителей органов по сертификации, на котором планируется представить проекты двух новых руководящих документов - по антивирусам и по системам обнаружения атак.

Не прошло и десяти лет, как говорится. Проект РД по антивирусам был уже давно и вот только сейчас его решили выпустить в свет. Ну а по IDS/IPS давно был профиль защиты. Но видимо идея перехода на Общие критерии в России умерла, не родившись, и ФСТЭК снова вернулся к практике выработки РД.

Ждемс...

Человек заразился компьютерным вирусом...

По словам профессора из университета Ридинга, он заразил себя сам, вживив себе под кожу чип, содержащий вредоносную программу.

В ходе испытаний Марк Гассон доказал, что он может передавать вирус на компьютеры, оснащенные системами внешнего ввода информации. В частности, профессору удалось взломать двери, запертые с помощью электронного звонка, и передать вирус на свой мобильник.

Профессор отмечает, что его исследование может быть важным в области медицины, передает Би-би-си. Доктор Гассон заявил, что кардиостимуляторы и другие электронные имплантанты находят все большее распространение и становятся все сложнее. И в будущем может возникнуть опасность умышленного заражения кардиостимуляторов вирусом. Поэтому уже сейчас нужно разрабатывать системы защиты электронных имплантантов от вредоносных программ.

Отсюда...

27.5.10

О так называемой поддержке ГОСТа в западных криптосредствах

Честно говоря, не хотел я поднимать эту тему - ну прошелся по ней в мифах один раз, ну и ладно. Оказалось нет, не ладно. Слишком много в последнее время пошло злоупотреблений на эту тему. Да и потребители стали воспринимать за чистую монету рекламу многих компаний, реализовавших ГОСТы в своей продукции. Чтоже на самом деле?

Как поступает большинство вендоров (преимущественно западных, но и российские не брезгуют этим подходом)? Они встраивают в свои решения поддержку отечественных криптоалгоритмов. Сделано это с помощью сертифицированных в ФСБ криптобиблиотек (их сегодня на российском рынке немало). Однако, ФСБ справедливо отмечает, что криптографическая библиотека может использоваться только в соответствие с требованиями, указанными в условиях ее эксплуатации (они же ТУ, они же формуляр). Дополнительно ФСБ в одном из своих писем разъясняет "Так называемая "оценка корректности встраивания СКЗИ" в соответствии с ПКЗ 2005 является оценкой отсутствия негативного влияния разработанного ПО на работу СКЗИ [вырезано]. Но такой оценки применительно к VPN-продуктам недостаточно, т.к. необходима еще проверка правильности работы соответствующих криптографических протоколов, надежности их реализации, корректности настроек и т.д. Все эти аспекты применяются в рамках сертификационных исследований VPN-продуктов".


Если посмотреть на ситуацию с учетом данной информации, то мы увидим, что почти все  вендоры, использующие ГОСТ, нарушают условия встраивания и требования ФСБ. В частности, в формуляре на криптографическое ядро «КриптоПро CSP», которое используется, например, компаниями Check Point или StoneSoft, написано буквально следующее: "3.11. Должна проводиться проверка корректности встраивания СКЗИ «КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в случаях:
  • если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
  • при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
  • при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд.
Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ России".

Т.к. такая проверка в большинстве случаев не проводилась, то абсолютное большинство решений не являются не то, что сертифицированными, но и их производство чревато для вендоров проблемами с регулятором. Это ж разработка СКЗИ - лицензируемый и строго контролируемый вид деятельности. А уж использовать их нельзя ни в госорганах, ни для защиты персональных данных нельзя, т.к. действующие нормативные акты требуют в данных сценариях именно сертифицированных СКЗИ (или имеющих положительное заключение).

Дополнительно напомню, что не только встроенный ГОСТ, но и наличие сертификата ФСБ на средство криптографической защиты не снимает необходимости легитимного ввоза шифровальных средств (в России – это два независимых направления). Т.к. все западные решения содержат неотключаемую «сильную криптографию» (насколько я знаю, только мы реализовали такую возможность) на западных алгоритмах 3DES, AES, RSA и т.д., то такие решения должны ввозиться по лицензии Министерства по экономическому развитию и только после получения разрешения со стороны ФСБ в соответствии с существующим законодательством. Этого обычно не происходит. Иными словами западные вендоры занимаются контрабандой ;-( Но это отдельная песня.

ЗЫ. Также многие компании забывают, что распространение нелегально ввезенной криптографической продукции может приводить к административной и уголовной ответственности. Такие примеры в отечественной судебной практике уже есть ;-(

26.5.10

McAfee покупает Trust Digital

25-го мая McAfee объявила о приобретении компании Trust Digital, специализирующейся на защите и управлении мобильных устройств. McAfee рассчитывает усилить свои позиции на рынке защиты iPhone, Android, Symbian и Windows Mobile. Детали сделки не разглашаются

Признаем ли мы сертификаты других стран?

4 мая Президент направил в ГосДуму законопроект № 368896-5 "О ратификации Соглашения о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия".Текст законопроект краток: "Ратифицировать Соглашение о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия, подписанное в городе Санкт-Петербурге 11 декабря 2009 года".

Само Соглашение применяется ко всем странам ЕвразЭС (Россия, Казахстан, Беларусь, Киргизия, Таджикистан, Узбекистан) и говорит о том, что для  проведения согласованной политики в области технического регулирования "стороны взаимно признают аккредитацию органов по сертификации
(оценке (подтверждению) соответствия) и испытательных лабораторий
(центров), выполняющих работы по оценке (подтверждению) соответствия,
в национальных системах аккредитации государств сторон".

Отсюда вопрос. Значит ли это, что результаты работы сертификационных лабораторий Беларуси применимы в России (ну и наоборот само собой)? Что будет, если, например, какая-либо компания сертифицирует свои продукты по ИБ в Беларуси и придет с этим сертификатом в Россию? С точки зрения законодательства я не вижу препятствий для признания этого сертификата. Но вот готова ли ФСТЭК к этому при тех аттестациях и проверках?А ФСБ? Вот, например, мы (Cisco) сертифицировали в Беларуси совместный с С-Терра продукт Bel VPN Gate на модуле AXP (аналогичные продукты есть в России, Казахстане и Украине). Значит ли это, что этот модуль можно спокойно применять в России? Вопросы, вопросы, вопросы...

25.5.10

О ПДн авиапассажиров

В Госдуму поступил законопроект № 373481-5 "О внесении изменения в статью 85-1 Воздушного кодекса Российской Федерации (об уточнении порядка передачи персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных)".

Текст изменения "В целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации".

24.5.10

Oracle покупает Secerno

20 мая компания Oracle объявила о покупке компании Secerno, специализирующейся на безопасности баз данных. Точнее Secerno разработала межсетевой экран для Oracle и других баз данных. Детали сделки не разглашаются.

21.5.10

Symantec покупает бизнес VeriSign

Не прошло и месяца с покупки Symantec'ом компаний PGP и GuardianEdge, как желтый гигант купил бизнес Verisign по аутентификации и идентификации, который включает сервис Secure Sockets Layer (SSL) Certificate, сервис Public Key Infrastructure (PKI), сервис VeriSign Trust и сервис VeriSign Identity Protection (VIP) Authentication. Сумма сделки - 1,28 миллиарда наличными.

20.5.10

Обновление курса по моделированию угроз

Как показал опыт, выкладывание курса по моделированию угроз в свободный доступ, не сделало поток желающих прослушать его меньше. Вчера я читал его в Институте банковского дела АРБ, а в начале июня - будет курс в Екатеринбурге. Также есть запросы на него из Нижнего и Перми.

Я все время поддерживаю курс в актуальном состоянии и недавно вышла версия 1.4, которая пополнилась описанием моделей угроз и подходов по моделированию угроз РС БР ИББС-2.4, НИР "Тритон" (а также модели угроз РНТ) и методика моделирования (и сами модели) Минздравсоцразвития.

ЗЫ. Жаль, что нельзя в курс вставить описание моделей для ряда отечественных предприятий, которые мне попали в руки. Возможно на их основе я сделаю кусок, посвященный типичным ошибкам построения моделей угроз (без указания владельца модели).

19.5.10

Как разработать отраслевой стандарт по ПДн?

Вчера выступал на одном мероприятии, где рассказывал об опыте создания отраслевых стандартов по защите персональных данных.

17.5.10

Как регулировать рынок ПДн в Интернет?

В четверг выступал на российском форуме по управлению Интернетом (RIGF 2010) с обзором подходов к управлению privacy (включая ПДн) в Интернете. За основу взял исследование Университета Гарварда.

14.5.10

Не используешь пароль - плати штраф. Таков вердикт Верховного Суда

Немецкий Верховный Суд постановил, что в Интернет пользователи обязаны использовать защищенные беспроводные соединения. В противном случае нарушитель может быть оштрафован на сумму до 100 евро.

13.5.10

Можно ли при годовом доходе в 1,3М рублей купить Infiniti FX 35?

Повинуясь Указу Президента Российской Федерации от 18 мая 2009 г. № 561, ФСТЭК разместила на своем сайте сведения о доходах, об имуществе и обязательствах имущественного характера федеральных государственных своих служащих, а также их супругов и несовершеннолетних детей за период с 1 января 2009 г. по 31 декабря 2009 г.

Все, аки агнцы ;-) Живут на зарплату, ездят на отечественных ВАЗах и ГАЗах, большими участками не владеют, квартир по одной и то в долевой собственности с супругой. Приятно смотреть, если честно. Самый крупный доход - 1,8 миллиона рублей в год. Среднегодовой доход остальных сотрудников центрального аппарата - около 700 тысяч рублей. В федеральных округах цифра вдвое-втрое ниже.

12.5.10

Sophos продал контрольный пакет акций

Известный антивирусный вендор, компания Sophos, договорилась в начале мая о продаже контрольного пакета акций компании Apax Partners. Детали сделки не разглашаются.

7.5.10

Huawei опять подозревают в шпионаже

Правительство Индии запретило местным телекоммуникационным компаниям покупать произведенное в Китае оборудование. В число пострадавших попали такие крупные китайские производители, как Huawei и ZTE, чьим оборудованием пользуются также и российские сотовые операторы. Впрочем, запрещать ввоз российские власти пока, судя по всему, не собираются.

Причем это уже не первый случай подозрений китайской компании в шпионаже. Пару лет назад австралийское правительство сделало аналогичное заявления. А до этого американский Конгресс проводил расследование в отношении компании, руководство которой, имело военные "корни".

По идее, такие подозрения могут быть в отношении любой крупной компании, но только про Huawei эта тема всплывает уже не первый раз в прессе и только эта компания из всех мировых телекоммуникационных игроков является по сути государственной, а не публичной, как другие вендоры.

6.5.10

Резниковский законопроект по ПДн - зеленый свет дан. Часть II

Итак законопроект Резника, о котором мы недавно дисскутировали, принят в первом чтении. В тридцатидневный срок со дня принятия постановления должны быть представлены поправки к законопроекту.

Также по теме ПДн был внесен законопроект "О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения правовых оснований обработки персональных данных при проведении переписи населения, а также уточнения порядка заполнения переписных листов)".

4.5.10

Украли ключи ЭЦП? Пусть платит банк!

Достаточно интересный поворот в развитии презентации по заблуждениям банковской безопасности. Сначала на банкир.ру была дискуссия с разработчиком одной системы АБС/ДБО о несанкционированном переводе средств и токенах с неизвлекаемыми ключами ЭЦП. Так и не пришли мы к взаимопонимаю о том, кто же виноват в том, что деньги сняли со счета клиента - сам клиент, банк или разработчик системы ДБО.

Но вот масла в огонь подлил Василий Окулесский, руководитель службы ИБ Банка Москвы, на конференции Visa и МНУЦИБ, где привел интересную статью из ГК, согласно которой исполнитель (в нашем случае - банк) услуги (в нашем случае - ДБО) покрывает ущерб потребителю, если последний понес его вследствие недостоверной или недостаточной информации об  услуге (в нашем случае из-за отсутствия информации о возможных случаях несанкционированного перевода средств из-за проблем с ИБ). Статья - 1095 ГК РФ.

Вот теперь и думай - молчать о проблемах ИБ или оповещать о них клиентов. Ведь последние становятся все подкованнее в юридических вопросах...