Здравствуй, дедушка Мороз!
В предверии Нового года я пишу тебе это письмо в надежде, что ты прочтешь его и выполнишь мои пусть не детские, но все равно новогодние желания. Ведь в уходящем году я вел себя хорошо и могу надеяться, что ты услышишь мои пожелания.
Дедушка, сделай так, что ФСТЭК и ФСБ занимались своим прямым делом - защитой государственной тайны и критически важных объектов и не вмешивались в деятельность коммерческих предприятий. Если уж им так неймется, то пусть их вмешательство носит характер рекомендаций и best practices, но никак...
28.12.11
Разъяснение ФЗ-152 для нотариусов
Федеральная нотраиальная палата выпустила письмо, разъясняющее отдельные положения ФЗ-152 для нотариусов. Надо ли уведомлять РКН? Надо ли нотариусу получать согласие субъекта? Как обрабатывать ПДн, полученные не напрямую от субъекта? Надо ли уведомлять субъекта ПДн до начала обработки его ПДн, если эти ПДн получены не напрямую от него? Согласие работников нотариальных палат на обработку их ПДн. И т...
ИБ-2012: прогнозы
Вчера я описал ключевые события, тенденции уходящего года. Пора поговорить и о том, что нового будет происходить в ИБ в России в 2012-м году? Как это не парадоксально, но ничего! Исходя из нынешней ситуации и если предположить, что в марте (и до марта) ничего кардинально нового не произойдет, могу сделать прогноз о том, что все ключевые события произошли еще в 2011-м году. В 2012-м будет только их развитие или продолжение.
Ну действительно. Сообщества безопасников будут только развиваться. Вон, партия ИТшников, инициированная Женей Царевым, за...
27.12.11
Топ10 событий 2011-года
В конце года принято подводить некоторые итоги и выделять ключевые события года уходящего. Не буду исключением и составлю свой Топ10 таких событий в области информационной безопасности в России. Точнее даже не событий, а явлений или тенденций, которые мне запомнились в 2011-м году.
Сообщества безопасников. Безопасники постепенно превращаются из разрозненных группок и единиц в сообщества - регионального или национального масштаба. При этом речь идет не просто об объединении по интересам, но и осуществлении вполне конкретных активностей, направленных...
23.12.11
Политическое завещание Медведева и ИБ
За последн.. неделю произошло достаточно много событий, которые имеют прямое отношение к тому, куда будет развиваться информационная безопасность в России, а точнее, куда она не будет развиваться. 4 августа я сделал некоторый анализ того, куда дует ветер перемен и какие шаги предпринимаются нашими регуляторами (преимущественно в лице ФСБ) для развития ИБ в их понимании. За эти полгода тенденция обозначилась еще ярче - немало нормативных актов, отбрасывающих ИБ на годы назад и заставляя ее жить по правилам, присущим гостайне. Но оставалась надежда,...
22.12.11
21.12.11
Электронная подпись, Россия и ЮНСИТРАЛ
Вот интересно, с учетом вступления России в ВТО, что нам теперь делать с электронной подписью? Насколько я понимаю, наш ФЗ "Об электронной подписи" не соответствует международным требованиям, которые приняты во многих странах ВТО. Эти страны руководствуются обычно документами и правилами, подготовленными ЮНСИТРАЛ - комиссией Организации Объединенных Наций по праву международной торговли. В 1996-м году 4-я рабочая группа ЮНСИТРАЛ разработала типовой закон по электронной торговле, а в 2001-м - типовой закон об электронных подписях (наш ФЗ ему не...
Какой вид электронной подписи использовать?
Для меня (я в тему электронной подписи не сильно лезу) всегда существовал вопрос. Вот есть у нас ФЗ "Об электронной подписи", устанавливающий общие требования к ЭП. И есть проекты документов ФСБ, устанавливающие требования к конкретным видам ЭП - простой и усиленной. Но какой вид и когда использовать для меня всегда оставалось вопросом. И вот тут наткнулся на проект "Методики определения минимальных требований к электронной подписи, используемой для заверения документов, предоставляемых при обращении за получением государственных и муниципальных...
Чем реально занимается ФСТЭК
Для большинства специалистов по ИБ название "Роскомнадзор" связано с деятельностью по защите прав субъектов персональных данных. Хотя на самом деле это далеко не единственная и не самая основная сфера деятельности, которой занимается РКН. Изначально эта федеральная служба отвечала за надзор в сфере связи и СМИ. Это уже после на нее навесили несвойственные ей функции. Сейчас навешивают функцию защиты детей в Интернет и функцию лицензирования деятельности...
20.12.11
А взлом компании связан с падением курса акций?!
В продолжение начатой сегодня темы про связь раскрытия информации об уязвимости и падением курса акции обратимся к теме, которая близка не только разработчикам софта, но и любому акционерному обществу (по крайней мере за пределами России). Насколько взлом компании влияет на курсовую стоимость ее акций? Существует 4 исследования на эту тему, которые показывают следующие результаты:
Гордон, Лёб и Жу - 2003 год - падение в среднем на 2%
Кавузоглы, Мишра и Рагхунатан - 2004 год - падение в среднем на 2.1%
Хова и Д'Арси - 2003 год - связи не обнаружено
Каннан,...
Как связаны Vulnerability Disclosure и падение курса акций?!
Тезис о том, что качественное и защищенное ПО лучше наколеночных и дырявых поделок мало у кого вызывает сомнение. Как минимум на уровне восприятия. А вот вопрос о раскрытии информации об уязвимостях в ПО (Vulnerability Disclosure) регулярно вызывает дискуссии на различных конференциях и страницах профессиональной прессы. Раскрывать или нет? Похвалить исследователя или наказать? Вопросов много. На один из них - "Как влияет раскрытие информации об уязвимостях на курс акций разработчика ПО? - дан ответ исследователями Института Карнеги Меллона.
В...
19.12.11
Теория доверия в компьютерных сетях
Фундаментальный вопрос: "Как я, человек, могу доверять информации, получаемой из Интернет?" Я читаю статью на Википедии. Как я могу доверять ее содержимому? Мы должны доверять
человеку, который написал эту статью,
компьютеру, который хранит этут статью,
каналу связи, по которому эта страница поступает читателю,
и, наконец, компьютеру, который получает эту статью и отображает ее читателю.
Ответу на этот вопрос посвящена т.е. теория доверия, которая...
Как построить доверенную систему из недоверенных элементов?
Во время недавней поездки в США мне довелось поучаствовать в дискуссии на тему использования коммерческих продуктов по ИБ (для них обычно используется аббревиатура COTS - commercial of-the-shelf) в критичных приложениях и системах. Сейчас это достаточно распространенная тенденция в США, которые во многих случаях отказываются от применения специально разработанных приложений в пользу того, что доступно на рынке. Я спросил коллег, что они делают в таких случаях? Ведь исходных кодов зачастую нет; свидетельств грамотно выстроенного процесса разработки...
16.12.11
Ежегодный отчет Cisco по ИБ
Cisco выпустила очередной ежегодный отчет по информационной безопасности, подводящий итоги года уходящего и показывающий тенденции года будущего. К ключевым тенденциям 2011-года мы отнесли социальные сети, облачные вычисления и доступ к корпоративным ресурсам с мобильных устройств. В целом никаких сюрпризов этот раздел не принес - об этом говорили практически все аналитики на протяжении всего года. Эти же темы стали ключевыми и на последнем в этом...
15.12.11
И вновь о контроле Интернет
Находясь в ожидании ответа г-на Путина, решил вернуться к теме контроля Интернета, которая недавно получила свое новое звучание. Вот здесь выложена моя презентацию по регулированию ИБ в России. На 85-90-м слайдах говорится как раз о контроле Интернет. 14 декабря к высказываниям МВД, Прокуратуры, РПЦ добавился еще и Совет Безопасности. Николай Патрушев в интервью "Аргументам и фактам" так ответил на вопрос: "Сегодня активно используются для продвижения различных интересов, в том числе завоевания и удержания власти, информационные технологии. Не...
Задай свой вопрос Путину!
Сегодня наш гегемон общается с плебсом и каждый мог задать ему свой вопрос, который, если повезет, будет озвучен в "прямом" эфире и на него, если повезет, лидер нации даст ответ. Я тоже не остался в стороне и задал такой вопрос: "Регулирование вопросов обеспечения информационной безопасности в России исторически возлагалось на ФСТЭК России и ФСБ России, которые следили за сохранностью сведений, составляющих государственную тайну. Эти органы вырабатывали требования по информационной безопасности и следили за их соблюдением. Однако в 90-х годах началась...
14.12.11
Проект ISO 27016
Давеча столкнулся с очередной версией проекта нового стандарта ISO 27016 по организационной экономике ИБ. Стандарт ну очень достойный и нестандартный в своей нетехнической направленности. Начинается он со слов: "Успешное управление ИБ требует строгого понимания взаимосвязи технических (например, баланс рисков и безопасности) и экономических (например, баланс преимуществ и затрат) подходов во всех аспектах ИБ, начиная от планирования, дизайна и внедрения...
13.12.11
О чем обычно говорят на внутренних конференциях по ИБ
Давеча слушал различные выступления на внутренней конференции Cisco SecCon. Собственно, задача данной конференции рассказать сотрудникам Cisco о тенденциях в области хакинга и о том, как им противостоять, как правильно писать защищенные программы, ну и т.д. Вторая часть интересна только нашим программистам, т.к. там изучаются такие темы как
Защищенное программирование на C/C++
Защищенное программирование для Java/Web
Фундаментальные основы тестирования...
12.12.11
Blue Coat была приобретена частным инвестиционным фондом
9 декабря компания Blue Coat, известная на рынке Web-безопасности, была приобретена частным американским инвестиционным фондом Thoma Bravo за 1.3 миллиарда долларов. Надо заметить, что это не первая инвестиция Thoma Bravo в рынок ИБ. Под ее управлением уже находятся такие компании второго эшелона как Entrust, LANDesk, SonicWALL и Tripwire. Ранее Thoma Bravo управлял и NetIQ, пока последняя не была продана Attachmate Co...
О системе идентификации граждан
6-го декабря я уже писал о подписании Постановлении Правительства по созданию единой системы регистрации и идентификации граждан в рамках всей России. Заработать система должна в апреле, но до сих пор нет четкого понимания того, на базе чего должна строиться такая система. Выделяют три разных способа, от выбора которого зависит дальнейшая судьба всей системы:
единый, несменяемый в течение всей жизни номер
номер, изменяемый в связи с переменой данных человека
использование совокупности номеров для идентификации.
При этом чиновники по своей традиции...
9.12.11
Медведев поручил Путину признать международные стандарты по ИБ
Сегодня Президент Медведев подписал перечень поручений по итогам заседания Международного консультативного совета по созданию и развитию международного финансового центра в Российской Федерации 28 октября 2011 года. Среди них:
рассмотреть вопрос о целесообразности смягчения требований к вывозу отечественных шифровальных (криптографических) средств за рубеж и о признании международных стандартов в области защиты информации и представить соответствующие предложения.
Поручение дано Путину В.В. Срок - до 1 марта 2012 года....
Судьба открытого письма Президенту
Сегодня, 9-го декабря, спустя 5 месяцев после публикацией нами открытого письма Президенту по поводу внесений изменений в ФЗ-152, хотелось бы подвести промежуточные итоги. Письмо, отправленное через Администрацию Президента, было направлено по подведомственности в Минкомсвязь, в Департамент создания и развития информационного общества. Была организована встреча с руководством Департамента, на которой нас пригласили к совместной работе над подзаконными актами, которые должны выйти во исполнение нового, на тот момент еще законопроекта.
Нами было...
8.12.11
Нургалиев о фейс-контроле
Многие видели сегодняшнее заявление Нургалиева, который опроверг слова своего подчиненного Алексея Мошкова (начальник БСТМ) о том, что в Интернет надо запретить анонимность. "Это глупость, никто этого вводить не собирается", - сказал Нургалиев сегодня, 8-го декабря 2011 года. Правда два года назад г-н министр заявлял совсем другое: "Необходимо исключить анонимность пользователей при регистрации в Интернете. Правоохранительные органы совместно с заинтересованными министерствами и ведомствами, бизнес-сообществом в области оказания услуг связи должны...
Немецкая cynapspro вошла в состав Infowatch
Несмотря на новости о том, что Infowatch Натальи Касперской купила немецкого антивирусного производителя, все не совсем так ;-) Это полправды. Действительно немецкая cynapspro вошла в состав Infowatch. Но cynapspro выпускает полноценное средство для защиты персональных и мобильных устройств, включающее в себя и механизмы контроля утечек (DLP), и управления мобильными устройствами (MDM), и локального шифрования, и контроля приложений на ПК, и надежного удаления данных. Детали сделки не разглашаются, но врядли сумма покупки велика - доход cynapspro...
Мнение АРБ на тему нового ФЗ-152
В январе я писал про открытие Консультационного центра АРБ по вопросам ФЗ-152 и СТО в контексте персданных. За это время КЦ выпустил 4 разъяснения по ключевым вопросам, возникающим у банков в разрезе применения СТО и ФЗ-152. И вот новое письмо - уже по поводу новой редакции ФЗ-152, подписанной президентом 25-го июля. Преамбула к письму следующая:
В настоящее время Банком России совместно с Роскомнадзором, ФСБ России, ФСТЭК России проводится работа:
по согласованию подходов к выполнению банковской системой РФ требований новой редакции ФЗ "О персональных...
7.12.11
Новая версия курса по персданным
Обновил курс по персданным (текущая версия 4.2). Последние изменения:
Развитие темы про коллекторские агентства
Статистика РКН по обращениям и проверкам (по состоянию на 31.10.2011)
Про 2-х новых регуляторов – Прокуратуру и УСТМ МВД
Про право проведения проверок ФСТЭК/ФСБ по новому ФЗ-152
ст.272 УК РФ как наказание по части ФЗ-152
Развитие темы о ближайших родственниках
Рассмотрение Web-сайта с точки зрения ИСПДн
О возможности получения согласия субъекта ПДн по телефону и через Интернет
Уничтожение ПДн
Получение ПДн не напрямую от субъекта
Сегментация...
6.12.11
Назначен орган, ответственный за электронную подпись
28-го ноября Правительство утвердило Постановление РФ от 28.11.2011 N 976 "О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи". Им назначен Минкомсвя...
Единая система идентификации и аутентификации России
28-го ноября было подписано Постановление Правительства № 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
С 15-го апреля следующего года эта система должна заработать и каждый пользователь сайта госуслуг должен иметь собственный персональный идентификатор. Ждемс...
С точки зрения защиты этой системы...
5.12.11
Распоряжение Правительства от 24 ноября 2011 г. №2127-р
Путин подписал распоряжение "Об определении национального координирующего органа Российской Федерации в сфере обеспечения информационной безопасности в рамках Организации Договора о коллективной безопасности". Органом назначена Ф...
Защита информации в ТЭК вне регулирования?
В июле молодой Президент подписал закон "О безопасности объектов ТЭК", в котором была прописана необходимость защиты объектов топливно-энергетического комплекса от различного вида угроз, включая и информационную безопасность ТЭК. Согласно этому закону должны были появиться требования по обеспечению безопасности объектов топливно-энергетического комплекса и требования по антитеррористической защищенности объектов топливно-энергетического комплекса. И вот на сайте Минэкономразвития появился Проект постановления Правительства Российской Федерации...
Новое Постановление по лицензированию разработки СЗИ от ФСТЭК
На сайте Минэкономразвития размещен текст проекта Постановления Правительства Российской Федерации "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации", о котором я писал в октябре. Разработчик акта - ФСТЭК России. Регулирует оно как и предыдущее 532-е постановление деятельность ФСТЭК и ФСБ по разработке средств защиты конфиденциальной информации.
Все комментарии были уже раньше, когда проект выкладывался на сайте ФСТ...
2.12.11
За кого я пойду голосовать
В воскресенье у нас выборы. И хотя как поется в песне "выборы, выборы, кандидаты - ...", в этот раз я решил не игнорировать данное событие. Именно по этой причине я решил чуть ли не в первый раз изменить правилам этого блога и написать в будни не про безопасность. Пост в субботу будет бессмысленным; да и могут посчитать за предвыборную агитацию.
Верю ли я в честные выборы? НЕТ! Читая Интернет, я вижу какие попытки предпринимаются властью для того, чтобы получить свои проценты. Сделать с этим ничего нельзя ибо и ЦИК и суды кормятся у нас с руки...
1.12.11
Статьи 272-274 УК РФ претерпели изменения
Закончим неделю очередной порцией изменений в законодательстве. Совет Федерации одобрил законопроект № 559740-5 "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации (в части совершенствования законодательства Российской Федерации)", внесенный в июне этого года Президентом Медведевым. Про него говорили и писали много, но почти никто не упоминал изменения, коснувшиеся "наших" трех статей 28-й главы УК РФ.
Текст 272-й статьй (про неправомерный доступ к компьютерной информации) поменялся...
30.11.11
Новое постановление по лицензированию деятельности в области шифрования
На сайте Минэкономразвития размещен текст Проекта постановления Правительства Российской Федерации "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем,...
Роскомнадзор опубликовал план проверок на 2012 год
Роскомнадзор опубликовал проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных подразделений) и индивидуальных предпринимателей Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на 2012 год. 607 страниц текста. 4500 проверок в области связи, радиочастотного спектра и ПДн. Около 120 банков. Около 150 медицинских учреждений и т...
29.11.11
Награда нашла своего героя?!
Кто подписан на мой Twitter, тот видел, что в четверг утром я написал, что этот блог номинировали на Антипремию Рунета в категории "Безопасный Рулет" (через "л", а не "н"). Тогда я еще написал, что "спасибо, что заметили, но лучше бы и не замечали". Моя позиция была понятна - любая премия с приставкой "анти" сразу напоминает "Серебряную калошу", "Шнобелевскую премию" и кучу других, которые даются за сомнительные достижения в той или иной области. Мне кажется также думали и все, кто услушал название "Антипремия Рунета".
Однако у авторов премии...
28.11.11
Бизнес-модель киберпреступности
В пятницу выступал на ZeroNights с презентацией "Бизнес-модель современной киберпреступности". Один из немногих примеров, когда на подготовку презентации ушло около суток - обычно времени уходит меньше. В данном случае пришлось поизучать тему более детально. Картина складывается нерадостная ;-( Особенно на фоне полной неспособности властей даже подступиться к этой теме. Поимок преступников нет. Наказания если и есть, то условные. Деньги выводятся, а у банков нет полномочий блокировать мошеннический вывод денег мулами. Сотрудники УВД всеми...
25.11.11
ZeroNights vs PHD
Покинул ZeroNights. По дороге в аэропорт оцениваю конференцию и поневоле сравниваю ее с PHD. Но неблагодарное это занятие. Одна конфа в Москве, другая в Питере; одна весной, другая осенью. Аудитории тоже не пересекаются. Одна бесплатная, другая за деньги. На по приглашению только, на другую открытая регистрация. Стоит ли сравнивать?ZeroNights показалась мне более сфокусированной на технике. Я себя там даже лишним почувствовал ;-) Напоминает американские Defcon или Blackhat по контенту. Обфускации, реверс-инжиниринг, эксплоиты, APT и т.д. На PHD...
24.11.11
Облака и российское законодательство
Хотел я сегодня написать update по нашему письму Президенту в части изменения ФЗ-152, но что-то на CiscoExpo вымотался, да еще и к ZeroNights надо новую презу сваять. Поэтому ограничусь выкладыванием своей обзорной презентации по регулированию облачных вычислений в России, которую я вчера прочитал на CiscoExpo. Не могу сказать, что она ответит на все вопросы, но по крайней мере, она даст направление для размышлений в части составления правильного договора между клиентов и провайдером облачных услуг.
Cloud and Russian regulation
View more presentations...
23.11.11
Особенности национальной стандартизации
Интересная судьба ждет ГОСТ Р "Система обеспечения информационной безопасности сети
связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи" и планируемый ГОСТ Р "Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки вероятности риска
причинения ущерба сетям и системам связи"
Первый стандарт разрабатывается уже давно - чуть ли не семь лет. Его инициаторами стали Транстелеком и ЦНИИС, а потом к ним присоединился и МТС. Стандарт достаточно интересен, т.к....
22.11.11
Лицензия ФСБ больше не будет препятствием для иностранных инвестиций - 2
В июне я уже писал, что в Госдуму был внесен законопроект, который выводит банки из под действия ФЗ "О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства". Ключевое изменение - деятельность банков в области криптографии исключается из видов деятельности, имеющих стратегическое значение и установленных статьей 6 закона 57-ФЗ. И вот? 17 ноября Президент подписал этот законопроект. Но с оговорками...
Из под действия закона выведены...
Планы ТК362 на следующий год
В рамках программы национальной стандартизации на 2012 год ТК362 планирует разработку окончательных редакций проектов:
ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель"
ГОСТ Р ИСО/МЭК 27000 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"
ГОСТ Р ИСО/МЭК 27003 "Информационная...
21.11.11
Итоги работы ТК362 за 2011 год
В 2011-м году в рамках Технического комитета 362 "Защита информации" проведено издательское редактирование и подготовлены проекты приказов о принятии следующих ГОСТов:
ГОСТ Р ИСО/МЭК 27004 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения"
ГОСТ Р ИСО/МЭК 27033-1 "Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции"
ГОСТ Р ИСО/МЭК ТО 15443-1 "Информационная технология. Методы и средства обеспечения безопасности....
17.11.11
Типы "принимателей" решений
Продолжая тему принятия решений по тому или иному проекту ИБ необходимо обязательно сказать, что принятие решения находится не всегда в руках одного человека. Хотя надо признать, что это один из самых распространенных вариантов, а точнее множеств вариантов:
Бизнес-монархия. Право принятия решения лежит только на топ- или senior-менеджере.
ИТ-монархия. Право принятия решения лежит на CIO или ИТ-директоре, которому подчиняется служба ИБ.
СБ-монархия. Право принятия решения лежит на CSO. Я на заре своей карьеры работал именно в такой компании. Будучи...
Подписаться на:
Сообщения (Atom)
