30.7.10

Juniper покупает SMobile

27 июля Juniper объявила о покупке небольшой компании SMobile, занимающейся разработкой ПО для защиты мобильных устройств на базе Android, Apple iOS (iPhones и iPads), Symbian, BlackBerry и Windows Mobile. Сумма сделки - около 70 миллионов долларов. Емкость рынка не очень большая (для покупателя) - всего около миллиарда долларов к 2014 году. Но и сумма покупки тоже не зашкаливает.

24.7.10

Минкомсвязи жжет!

В последнее время Минкомсвязи как-то активизировалось на поприще PR своей деятельности. Правда, видимо, никто предварительно не проверяет ту чушь, которую Минкомсвязь генерит, а потом вещает с высокой трибуны. Но одно дело - пусть пыль в глаза Президенту и чиновникам, которые в ИТ понимают не сильно, и совсем другое дело - доносить эти "идеи" до ИТ-сообщества. Итак, по порядку.

22 июля Илья Массух, заместитель главы Минкомсвязи и его главный советник по Интернет-технологиям, заявляет, что национальную ОС все-таки создавать будут. Первая версия операционной системы может появиться уже в 2011 г. Я давно уже не программирую, но когда нам преподавали курс по ОС, нам говорили, что за год серьезную систему создать невозможно. Хотя если в Linux, на базе которой и будет создаваться нациольная ОС, поменять копирайт, как это многие делали в Norton Commander, то может и успеют за оставшееся время. По словам Массуха этот проект позволит "попробовать запустить создание операционных систем" в России. Ключевые слова "попробовать" и "операционных", из чего можно сделать, что у нас планируется создать, как минимум, больше одной ОС ;-)

23 июля тот же Массуж заявил о том, что в этом году за 10 миллионов рублей будет создан прототип почтового сервера для связи граждан с государством. А так это будет внутренняя почта между эти субъектами, то спам, по мнению Массуха, исключен. Как будто спам не может рассылаться гражданами в адрес государства и наоборот...

А вообще Массух очень примечательная личность. Ему принадлежат такие высказывания, как "мы оцифровали около 400 услуг" (имея ввиду, что на порталегосуслуг выложены описания 400 услуг), "электрификация услуг" (имея ввиду перевод их на электронные рельсы), "процедура не может быть механизирована" (имея ввиду участие человека в оказании услуги), "лично вице-премьер занимается наполнением портала" и т.д.

23.7.10

Регулирование Интернет - новый законопроект

Комитет Государственной Думы по информационной политике, информационным технологиям и связи организовал публичное обсуждение нового законопроекта "О внесении изменений и дополнений в Федеральный закон«Об информации, информационных технологиях и о защите информации» в целях установления особенностей государственного регулирования деятельности, осуществляемой с использованием глобальных компьютерных сетей". Собственно этот законопроект и есть пресловутая попытка зарегулировать Интернет.

Среди интересных нам изменений могу отметить следующие:
  1. К принципам правового регулирования отношений в сфере информации, информационных технологий и защиты информации добавился: "установление нарушений прав и свобод других лиц, доказанных в установленном порядке, в качестве единственного возможного основания, безусловного введения ограничений осуществления прав и свобод человека и гражданина в сфере использования информационных технологий и глобальных компьютерных сетей". Иными словами - нет доказанного нарушения прав и свобод других лиц, не смей читать чужую переписку, блокировать Интернет-доступ и т.п. А если оно есть, то все равно потребуется решение суда.
  2. Другим принципом, повторяющим 23-ю статью Конституции, но специально введенным в законопроект отдельным пунктом является "запрет на внесудебное раскрытие тайны электронной переписки и любых иных сообщений, передаваемых в электронно-цифровой форме посредством глобальных компьютерных сетей". Т.е. попытки силовиков и правоохранительных органов получать доступ к чужой переписке без решения суда является неправомерным.
  3. Интересен пункт 5 новой, 15-й статьи - "Все неустранимые сомнения, противоречия и неясности нормативных правовых актов, регулирующих порядок осуществления деятельности с использованием глобальной компьютерной сети, толкуются в пользу пользователей глобальных компьютерных сетей и (или) операторов доступа к использованию глобальных компьютерных сетей". Т.е. не умеешь писать законы - сам виноват.
  4. Новая 16-я статья является переложением 1009-го Постановления Правительства о недействительности неправильно подготовленых нормативных правовых актов, регулирующих ИТ и ИБ.
  5. 18-я статья определяет, что основным принципом регулирования Интернет (в отсутствие иных нормативно-правовых актов) является саморегулирование и сетевой этикет.
  6. Интересен пункт 3 статьи 19 - "Принципы, стандарты, протоколы технического регулирования порядка организации и функционирования глобальных компьютерных сетей и ее сегментов (элементов), регламентируются исключительно компетентными международными органами. Указанные вопросы технического регулирования не могут регламентироваться нормативными правовыми актами Российской Федерации, если иное не установлено международными договорами Российской Федерации или правилами (стандартами) указанных международных организаций". Ох как много из него следует...
  7. Ст.20 посвящена электронной коммерции. В ней, например, сказано, что нельзя от участников e-бизнеса требовать чего-то такого, что не требуется от участников обычного бизнеса.
  8. В статье про ответственность добавлен пункт, что провайдер/хостер не несет ответственности за информацию, которая передается по его сетям или хранится на его ресурсах (если он об этом не знал).

Вот такой интересный законопроект. Устаревший принцип защиты на основе конфиденциальности информации по-прежнему сохранен, но видимо у законодателей нет специалистов-практиков в области ИБ, которые бы показали порочность такого подхода. Видимо не пришло еще время для коренного изменения законодательства об ИБ...

    22.7.10

    Президент Медведев внес в Госдуму новый законопроект "О безопасности"

    Президент Медведев внес в Госдуму законопроект №408210 "О безопасности", который является существенно переработанной и отвечающей современным задачам России версией ФЗ-2446-1 от 1992 года. Ничего революционного я в законопроекте не заметил. Если только не считать смену принципов обеспечения безопасности. Если раньше на первом месте стояли:
    • законность,
    • соблюдение баланса жизненно важных интересов личности, общества и государства,
    • интеграция с международными системами безопасности
    то в новой редакции приоритеты сменились:
    • соблюдение прав и свобод человека и гражданина
    • законность
    • системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами политических, организационных, социально-экономических, информационных, правовых и иных мер обеспечения безопасности
    • приоритет предупредительных мер при обеспечении безопасности
    • взаимодействие федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов с общественными объединениями, международными организациями и гражданами в целях обеспечения безопасности.

    Можно заметить, что на первое место вышли интересы гражданина. И они, как и написано в Конституции, стоят превыше всего. Мы возвращаемся к идее, предложенной рабочей группой академика Рыжова, которая и стояла у истоков создания первой версии закона "О безопасности". Но тогдашний руководитель КГБ Крючков и иже с ними идею верховенства интересов личности забраковала и поставила во главу угла интересы государства. Медведев все возвращает на круги своя.

    Добавилась часть, связанная с международным сотрудничеством (что логично, учитывая деятельность Медведева в последнее время). Были систематизированы полномочия органов исполнительной власти, госвласти и органов местного самоуправления. Основным направляющим органом в области безопасности (включая ИБ) по-прежнему является Совет Безопасности.

    Посмотрим, что выйдет из этой инициативы. По сути Президент вторгается в область, в которой исторически верховодили силовики во главе  с премьером. И это примета нашего времени. В презентации по тенденциям законодательства в области ИБ я уже отмечал этот факт. Но сейчас понимаю, что глубинные течения гораздо сильнее, чем кажется на первый взгляд. И кто выйдет победителем из этой схватки пока непонятно...

    21.7.10

    Изменения в законе о лицензировании

    19 июля в ходе заседания Президиума Правительства Российской Федерации был рассмотрен проект закона о лицензировании, который серьёзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности.

    К сожалению самого законопроекта я так и не нашел ;-( Знаю только, что в нем осталась тематика связанная с лицензированием деятельности по защите информации и криптографии, но эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации. Сами эти виды деятельности должны будут регулироваться отдельными новыми Постановлениями Правительства. Больше деталей пока нет ;-(

    Либерализация в части криптографии?!..

    Если посмотреть на текущую ситуацию на рынке ИБ, то можно увидеть, что возвращается период "холодной войны", когда иностранные державы воспринимались как реальный враг и СССР делал все, чтобы помешать проникновению к нам западных технологий. Сегодня некоторые регуляторы продолжают эту же политику, блокируя, мешая, делая непрозрачной процедуру ввоза на территорию РФ огромного спектра иностранного оборудования. И все это на фоне того, что Президент Медведев хочет переломить ситуацию. Достаточно посмотреть на его решения и записи в Twitter'е.

    Например, 19 июня на заседании Комиссии по модернизации и технологическому развитию экономики России, одним из поручений стало: "Правительству Российской Федерации в целях содействия иностранным инвестициям в производство медикаментов, медицинской и компьютерной техники, телекоммуникационного, энергетического и энергосберегающего оборудования, другой высокотехнологичной продукции на территории Российской Федерации оптимизировать процедуры таможенного оформления, валютного и экспортного контроля при экспорте готовой продукции, а также при импорте комплектующих и оборудования".

    В Twitter'е 12-го и 13-го июля были такие записи: "Надеюсь, в этом году Россия все-таки вступит в ВТО. Переговоры с отдельными странами по этому поводу сильно затянулись" (а ведь одним из камней преткновения была именно тема ввоза криптографии) и "Важно, что Россия и США понимают, что в основе национальной безопасности не оружие или шпионские игры, а устойчивое внутреннее развитие".

    ЗЫ. Это и есть те тенденции к либерализации, которых якобы не видно. Просто не все становится достоянием общественности.

    20.7.10

    ФСТЭК опубликовал порядок доступа к ее документам

    На сайте ФСТЭК опубликован порядок доступа организаций к документам, выпущенным этим достопочтенным органом исполнительной власти. Идея проста - напишите во ФСТЭК заявку, укажите свои реквизиты для отправки вам счета на оплату, и ждите документов.

    Вирус для SCADA

    Siemens разослал по своим заказчикам предупреждение об обнаружении вируса для SCADA (АСУ ТП) решений. То, о чем давно предупреждали эксперты, стало сбываться. Все больше систем управления технологическими процессами становятся более открытыми, переходят с закрытых протоколов на IP, что приводит к очевидным проблемам с безопасностью, о которых я уже писал (тут, тут и тут).

    Так что, безопасность АСУ ТП - это горячая тема ближайшего времени. А специалистов по этой теме в России очень и очень немного ;-(

    19.7.10

    Минкомсвязи меняет 41 ФЗ

    В Госдуму внесен законопроект №404643 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона
    "Об информации, информационных технологиях и о защите информации", который вносит изменения в 41 федеральный закон в части приведения их к единой терминологии. "Компьютерный" и "телекоммуникационный" меняется на "информационно-телекоммуникационный", "конфиденциальная информация" меняется на "информации, в отношении которой установлено требование об обеспечении ее конфиденциальности", "сеть Интернет" на "информационно-телекоммуникационная сеть Интернет" и т.д.

    Ничего сверхестественного в законопроекте нет. Просто решили через 3 года после принятия трехглавого закона привести все к единой терминологии...

    17.7.10

    Президент Медведев в Cisco - 2

    Появилось видео посещения Медведева нашего офиса в Калифорнии ;-)

    15.7.10

    Американцы запускают Интернет-паспорт

    25 июня Белый Дом США выпустил проект "Национальной стратегии в области доверенной идентификации в киберпространстве" (NSTIC), которая призвана решить вопрос с утечками персональных данных, мошенничествами, идентификацией в Интернет и т.п.

    Суть идеи проста - создать экосистему, где пользователям больше не понадобится запоминать десятки логинов и паролей к различным Интернет-сервисам. Вместо этого они смогут использовать различные носители "цифрового паспорта" - смарт-карты, сертификаты, мобильные телефоны и т.п., с помощью которых смогут аутентифицироваться при доступе в Интернет-банкингу и Интернет-магазинам, заказе госуслуг, при отправке электронной почты и т.д.

    Институт по стандартизации ANSI открыл сайт для сбора комментариев от любого специалиста. При этом, за каждое предложение можно проголосовать, чтобы эксперты смогли оценить перспективность того или иного предложения. Комментарии принимаются до 19 июля (сам проект был выпущен 25 июня). То есть "на все про все" - меньше месяца было выделено (умеют работать американцы ;-)  Сама стратегия должна быть принята в сентябре/октябре этого года.

    ЗЫ. Касперскому идея понравилась, но он считает, что американцы не понимают, как надо ее реализовывать. Мол безопасность в Интернет не может быть национальной, она должна быть глобальной и систему идентификации надо делать в масштабах всего Интернета, а не только в США. Тут я не соглашусь, т.к. все наоборот - американцы прекрасно понимают, что и как они делают. Чтобы хорошая идея загнулась, ее надо глобализовать ;-) Учитывая ситуацию с взаимодействием стран в киберпространстве, пытаться сделать что-то глобальное - это утопия. Гораздо разумнее сделать это в рамках одного государства, а потом поделиться опытом (насадить свой подход) с другими.

    14.7.10

    Принят новый RFC с отечественной криптографией

    Новый RFC 5933 "Use of GOST Signature Algorithms in DNSKEYand RRSIG Resource Records for DNSSEC".

    13.7.10

    Logitech покупает производителя технологии межсетевых экранов для видео

    Logitech, известный своими мышками и презентерами, 7 июля купил норвежскую компанию Paradial, которая являтся разработчиком технологий МСЭ и NAT traversal для видеокоммуникаций. Детали сделки не разглашаются.

    Создание ярлыка на десктопе приравнено к уголовному преступлению!

    Смешно, если бы не было так грустно. В середине мая против матроса Балтийского флота было заведено уголовное дело по ст.273 за... создание ярлыка на рабочем столе компьютера и изменение домашней страницы в браузере!!! В начале я думал, что это шутка и не стал про это писать. Потом мне казалось, что следователи поймут всю абсурдность своих действий и спустят дело на тормозах. Но вчера стало понятно, что нифига - следователей не устроили результаты экспертизы, которая не нашла в действиях матроса-срочника состава вменяемого преступления, и они послали вновь запрос на проведение экспертизы. Куда катится этот мир...

    12.7.10

    О 330-м постановлении Правительства

    Вот забавная история происходит с пресловутым 330-м Постановлением Правительства "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об  особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)" (длинное название, взятое почти дословно из 5-й статьи ФЗ "О техрегулировании"). Его мало кто видел, ибо оно носит статус ДСП, что само по себе является нонсенсом для обязательного для всех операторов персданных нормативного документа.

    Во-вторых, у него интересная область применения. Логично было бы предположить, что оно должно распространяться на все виды конфиденциальной информации... Ан нет. Только на государственные информационные ресурсы и персданные. Почему (хотя это и хорошо) за скобки вынесены врачебная тайна, тайна усыновления и т.п.? Ведь они не менее важны и критичны, чем персданные.

    В-третьих, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Т.е. то, что было написано в 58-м приказе ФСТЭК и по разному толковалось разными экспертами теперь имеет четкое толкование - только обязательная сертификация.

    В-четвертых, к принципам подтверждения соответствия относится "ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера". Иными словами ФСТЭК, ФСБ и МинОбороны теперь имеют полное право выпускать ДСПшные документы. Правда, совсем непонятно, как теперь соотносится 1009-е и 330-е постановления?..

    8.7.10

    Как через презентер засунуть вредоносный код?!

    Ригель подкинул интересную ссылку. Дело дошло до того, что сломали логитеховский презентер, через который засунули на компьютер вредоносный код!!! Как жить в этом мире?! И главное, что ничего в данный момент сделать нельзя в принципе. Ни патч поставить, ни прошивку поменять ;-(

    ЗЫ. Вот не зря у нас в Cisco SAFE целью считается любое IP-устройство. Для компа же такой целью должно считаться любое периферийное устройство. Даже то, которое на первый взгляд не может быть взломано в принципе.

    ЗЗЫ. А у меня ведь Logitech R400 ;-(

    7.7.10

    Национальная платежная система. Последние новости

    Я уже писал о законопроекте "О национальной платежной системе". И вот перед глазами последняя версия законопроекта. Поменялось в ней немало по нашей тематике. Появилась ст.18, которая обязывает практически всех субъетов НПС соблюдать банковскую тайну в соответствие с законом "О банках и банковской деятельности".

    Во-вторых, требования по ИБ устанавливает Правительство, а контроль и надзор за выполнением требований, установленных Правительством, осуществляется ФСБ и ФСТЭК. При этом дополнительно к требованиям Правительства (их пока нет), субъекты НПС должны соблюдать и требования по ИБ, установленные Банком России. А сами требования ЦБ должны быть согласованы с ФСТЭК и ФСБ. Надзор за требованиями ЦБ по ИБ обеспечивает сам ЦБ по процедуре согласованной с ФСТЭК и ФСБ.

    В-третьих, ЦБ обязан установить требования по управлению рисками для операторов НПС. Скорее всего, речь пойдет о 242-П.

    6.7.10

    Лицензия ФСТЭК на ТЗКИ! Нужна ли?

    В продолжение темы про лицензию ФСБ на ТО СКЗИ. Читатель "Лео Харанен" подкинул ссылку на официальный ответ ФСТЭК на запрос Минздравсоцразвития.

    5.7.10

    Документы АРБ/ЦБ и письмо "шестерых"

    Итак, новый СТО БР ИББС, сопутствующие документы, а также письмо "шестерых" утверждены. Письмо "шестерых" (АРБ, Ассоциация "Россия", ЦБ, ФСТЭК, Роскомнадзор и ФСБ) выложено на сайте АРБ. Я ждал немного иного текста, но и в данном варианте видно, что банк либо присоединяется к стандарту, либо нет. Во втором случае банк остается один на один с регуляторами. А вот будут ли руководствоваться регуляторы СТО или по-прежнему будут следовать своим документам, из письма "шести" не очевидно ;-(

    Документы СТО опубликованы 29 июня 2010 года в "Вестнике Банка России" № 36-37 (1205-1206). Сам Вестник появится на сайте ЦБ в ближайшее время.

    1.7.10

    Изменения в области ИБ: сегодня и завтра

    Подготовил я тут для одной из конференций краткую презентацию по тому, что происходит в области регулирования ИБ (и что будет происходить). Может кому будет интересно...