31.1.11

Стандарты ISO по ИБ (ПК 27)

Решил составить карту международных стандартов ИБ, начав с 27-го подкомитета комитета по ИТ, который и является основным "автором" данных стандартов в ISO (но не единственным). Вот что получилось.


Если внимательно приглядеться, то основной акцент в стандартах делался на технологических аспектах - криптография, управление доступом, сетевая безопасность. В начале 2000-х начался процесс выпуска стандартов, посвященных оценке соответствия, а в середине первого десятилетия 2000-х  разработчики сфокусировались на теме управления ИБ (известная серия 2700x).

28.1.11

Статистика по подключению к СТО

Вчера на семинаре по ПДн в презентации Харламова Валерия Павловича была показана интересная статистика по подключению к СТО на 25-е января. Итак, подключилось 313 кредитных организаций (почти треть всех банков России).

Из них по линии ЦБ (т.е. выполнение всего СТО) большинство находится на 1-м уровне; затем идет второй уровень, третий и четвертый. Но есть те, кто открыто заявил, что они на нулевом уровне соответствия. А 2 банка заявили о 5-м (!) уровне соответствия.

По линии РКН основная масса на 4-м уровне; затем идет 2-й и 3-й уровни. На пятом соответствия уровне аж целых 9 банков.

По линии ФСТЭК почти поровну лидерство делит 3-й и 2-й уровни; затем 4-й. На пятом - семь кредитных организаций. Аналогичное распределение и по линии ФСБ. Разница только в том, что по линии криптографии нет тех, кто на нулевом уровне.

27.1.11

Урок из Домодедовской трагедии

Очень редко я пишу не про информационную безопасность в этом блоге, но после трагедии в Домодедово решил-таки эту заметку опубликовать. Тем более, что она все-таки имеет прямое отношение и к теме ИБ, регуляторов, необдуманных заявлений и т.д. Итак вспомним, что сейчас говорят про эту трагедию наши чиновники, следователи, прокуроры, сотрудники национального антитеррористического комитета и даже сам Президент. Мол администрация Додомедово "нарушала", "не соблюдала", "не обеспечила"... На первый взгляд правильные слова. Если не брать в расчет, что практически ни в одном крупном аэропорту мира НЕТ контроля при входе в зону прилета и вылета. Я полетал достаточно много - и в США, и в Европе, и в Азии, и даже в Африке и нигде такого требования нет. Да и в России контроль всех входящих в здание аэропорта обычно обеспечивает только в региональных аэровокзалах с очень незначительным пассажиропотоком. В Москве это просто нереально. И дело даже не в затратах, а в теоретической невозможности реализации требования, предъявляемого к Домодедовской администрации.

Возьмем калькулятор и посчитаем. Стандартная длительность работы аэропорта Домодедово - около 20 часов в день (есть где-то 4 часа ночью, когда самолеты не летают и пассажиропоток почти отсутствует). 20 часов - это 72000 секунд. Сколько обычно времени уходит на проход через рамку металлодетектора (и не только металло-)? Я засекал - около 10 секунд с момента поклажи ручной клади на транспортер и заканчивая взятием ее оттуда. Это почти идеальный вариант, когда у вас нет чемодана, вы не ищете по карманам мелочь, вам не надо проходить повторно, вы не мешкались перед рамкой (как это бывает у пожилых и женщин). Т.е. 10 секунд на одного человека. Теперь делим 72000 на 10 и получаем, что при непрерывном потоке посетителей аэропорта, одна "рамка" может пропустить через себя всего около 7000 человек в сутки (в идеале). Сколько входов в Домодедово? В теории - 5. Умножаем 5 на 7000 и получаем максимальную пропускную способность металлодетекторов Домодедово - 35000 посетителей (даже не пассажиров).

На практике все немного иначе и основной поток идет через 2-й и 3-й входы. 4-й обслуживает Аэроэкспресс и автовладельцев долговременной парковки. 0-й и 1-й обслуживает обычно тех, кто прилетел на международных рейсах и идет на кратковременную парковку. Соответственно реальная пропускная способность юудет ниже - я бы предположил значение около 27000 посетителей.

А теперь смотрим на статистику. 2-го января 2011 года Домодедово установил рекорд - через него улетело 47000 пассажиров. Если предположить, что этот рекорд связан с новогодними праздниками и в будничный день через Домодедово улетает около 40000 пассажиров, то мы имеем принципиальную невозможность контроля всех посетителей. Осталось только добавить, что помимо улетающих в аэропорт заходят провожающие, встречающие, таксисты, персонал авиакомпаний и персонал аэропорта - всего около 50000 человек в день.

Среднегодовой рост пассажиропотока в Домодедово - 20%. Расчеты показывают, что даже если в фронтальной стене сделать еще 4 входа, работающих в том же режиме, что и 2-й и 3-й, то Домодедово все равно будет не в состоянии проверять всех входящих в его чрево.

Спрашивается, думает кто-нибудь из тех, кто заявляет о неспособности Домодедово защитить пассажиров, о реальной безопасности? Или они только пиарятся и демонстрируют свою "нужность" высшим властным чинам.

ЗЫ. Добавлю, что в Шереметьево ситуация еще хуже, чем в Домодедово. Я как раз в понедельник вылетал из Шереметьево и вариантов бесконтрольного прохода на его территорию видел немало. И это при том, что там пассажиропоток гораздо ниже, чем у Домодедово и в теории они способны проверять каждого.

ЗЗЫ. Не исключаю, что в ближайшее время опять поднимется вопрос о приватизации Домодедово (как это было пару лет назад). И причину искать не надо - все на поверхности - неспособность беспокоиться о безопасности граждан. Как будто государство способно... Но это уже вопрос риторический.

ЗЗЗЫ. Ну а в ИБ ситуация аналогичная. Прежде чем внедрять средства защиты стоит посчитать с калькулятором в руках - выдержит ли система защита не только текущую нагрузку (включая и пиковые значения), но и нагрузку годика через 3-5 (именно столько во многих компаниях "живет" система защиты).

26.1.11

2 новых отраслевых стандарта по ПДн

25-го января появилось две новости о создании отраслевых стандартов по тематике персональных данных.

Национальная ассоциация участников фондового рынка разработала для своих членов стандарт «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами - профессиональными участниками рынка ценных бумаг», а также методические рекомендации к нему.

 Национальная ассоциация негосударственных пенсионных фондов (НАПФ) и Leta IT-company объявили о завершении разработки отраслевого стандарта защиты персональных данных для негосударственных пенсионных фондов (НПФ). По завершении процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты ПДн в НПФ. А пока стандарт можно скачать на сайте НАПФ.

25.1.11

Хотите на Гавайи?! Cisco платит ;-)

Подробности здесь...

Очередная порция изменений законодательства по ИБ толкает нас назад

Президент Медведев подписал вчера указ о создании ЕДИНОГО органа по сертификации... исключая оценку соответствия средств защиты информации и иной продукции, перечисленной в пресловутой 5-й статье ФЗ "О техническом регулировании". Т.е. либерализация постепенно проникает в различные сферы нашей жизни, исключая вопросы информационной безопасности, исторически остающиеся в сфере компетенции наших регуляторов и вне поля зрения Президента.

Т.е. мои наивные надежды, что все-таки Президент сможет переломить правила игры не оправдываются и видимо потребителю придется использовать только сертифицированные средства защиты. А новый указ показал, что выпущенное в июне 455-е Постановление Правительства, прошло сквозь недремлющее око регуляторов по случайности.

Еще одним фактом в пользу усиления роли регуляторов является сообщение о создании правительственной комиссии под руководством директора ФСБ Александра Бортникова, которая будет заниматься вопросами связи для госорганов, армии и специальных служб. Т.е. работа, начатая совместным приказом ФСТЭК и ФСБ 489/416, получила новое, не самое приятное для госорганов развитие. Можно предположить, что ФСБ окончательно перетащит "одеяло" на себя и ФСТЭК, с которым было проще работать во всех отношениях, останется не удел ;-(

24.1.11

Новое изменение СТО БР ИББС

В ноябре я уже писал, что СТО грозят очередные изменения и вот первый документ из упомянутой четверки появился для обсуждения экспертами ПК3 ТК362. Это РС 2.5 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Выделение и назначение ролей". Пока в статусе проекта. Срок завершения обсуждения - апрель.

21.1.11

Sourcefire покупает Immunet

5 января компания Sourcefire, купившая в 2007 годe ClamAV, объявила о приобретении другого, неизвестного в России игрока рынка ИБ - компании Immunet. Данная компания, основанная в 2008 году, занималась облачной безопасностью в сегменте борьбы с вирусами и вредономным кодом. Причем цена облачных сервисов Immunet была смешной даже по российским меркам - 20 долларов в год. Наверное поэтому у Immunet насчитывается около 750000 клиентов (физлица и малый бизнес) по всему миру. Сумма сделки - 21 миллион долларов.

Лаборатория Касперского продает часть себя американцам

Лаборатория Касперского продает долю своих акций американскому инвест-фонду General Atlantic. Новость об этом на сайте производителя антивирусов появилась вчера. Текст ее достаточно сух, а вот эта же новость у желтопрессного CNews выглядит более занятно. По версии CNews свою долю продала Наталья Касперская, которая будет вкладывать полученные средства в свои другие проекты - Infowatch, Наносемантика и Крибрум (а может и во что-то новое). Причем все три проекта завязаны на лингвистическую обработку текста в той или иной мере (что, в общем, тоже объяснимо).

Стоимость сделки не разглашается, но оценивается экспертами в 200-300 миллионов долларов.

20.1.11

Число требований по сертификации средств защиты возрастет

Писал я тут большое исследование на тему сертификации средств защиты информации в России, в рамках которого анализировались нормативные акты, упоминающие оценку соответствия или сертификацию средств защиты информации. Это и "старые" документы ФСБ и ФСТЭК, и "новые" нормативные акты - ПП-781, ПП-330, ПП-424 и т.д. На 2011 год делался прогноз исходя из тенденций законотворческой деятельности нашего Правительства и Президента (ФЗ "О персональных данных", ФЗ "О национальной платежной системе" и т.д.), а также проектов нормативных документов ФСТЭК и ФСБ, которые находятся сейчас в стадии окончательного оформления.


Картина нерадостная, если честно. И при наличии нескольких стратегических альтернатив развития событий вероятность "ухудшения" ситуации (т.е. требований по сертификации будет больше) существенно выше, чем в либеральном сценарии.

19.1.11

Таки мы снова окунулись на Крещение

но в этот раз нас было уже 9 человек...

SAP покупает часть бизнеса SECUDE

Компания SAP объявила 12-го января о приобретении части бизнеса немецкой компании SECUDE AG, которая занимается разработкой средств защиты для SAP. В рамках сделки, детали которой не разглашаются, SAP получает права на два продукта SECUDE - Secure Login и Enterprise Single Sign-On, которые будут интегрированы в портфолио SAP.

Новые ГОСТы по ИБ

В конце декабря ТК 362 "Защита информации" направил в Ростехрегулирование 5 новых стандартов по информационной безопасности, который скоро должны получить статус национальных стандартов (ГОСТов):
  • ГОСТ Р ИСО/МЭК 27033-1 "Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции". Разработчики - ФГУ "ГНИИИ ПТЗИ ФСТЭК России", ООО "Кристалл", "Газпромбанк". Это перевод международного стандарта - ISO/IEC 27033-1:2009 (прямое применение)
  • ГОСТР ИСО/МЭК 27004 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения". Разработчики - ФГУ "ГНИИИ ПТЗИ ФСТЭК России", ООО "Кристалл", "Газпромбанк". Это перевод международного стандарта - ISO/IEC 27004:2009 (прямое применение).
  • ГОСТР ИСО/МЭК ТО 15443-1 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 1. Обзор и основы". Разработчики - ФГУ "ТНИИИ ПТЗИ ФСТЭК России", ООО "ЦБИ". Это перевод международного стандарта - ISO/IEC TR 15443-1:2005 (прямое применение).
  •  ГОСТ Р ИСО/МЭК ТО 15443-2 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий- Часть 2. Методы доверия ". Разработчики - ФГУ "ГНИИИ ПТЗИ ФСТЭК России", ООО "ЦБИ". Это перевод международного стандарта - ISO/IЕС TR 15443-2:2005 (прямое применение).
  • ГОСТ Р ИСО/МЭК ТО 15443-3 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия". Разработчики - ФГУ "ГНИИИ ПТЗИ ФСТЭК России", ООО "ЦБИ". Это перевод международного стандарта IS0/1EC TR 15443-3:2007 (прямое применение).

18.1.11

Горчая линия АРБ по вопросам персданных заработала

Горячая линия АРБ по вопросам персданных заработала. Все детали на сайте АРБ.

Как ФСБ препятствует стратегии развития информационного общества ;-(

Вот забавно иногда смотреть на то, как здравые в общем-то потуги наших чиновников приобщиться к современным ИТ-технологиям рубяися на корню нашими "безопасными" регуляторами.

Итак в Свердловской области запретили чиновникам администрации использовать Skype и бесплатную Web-почту. Причина проста - ФСБ провел анализ ИТ-деятельности чиновников и обнаружил их странную зависимость от зарубежных производителей ПО, СВТ и средств связи. Действительно странная зависимость; особенно при полном отсутствии адекватной замены со стороны отечественных производителей.

На фоне этого запрета достаточно интересно смотрится интервью с руководителем аппарата правительства Пермского края Макаром Германом. Та же должность, что и в Свердловске. Да и Пермский край граничит со Свердловской областью (правда федеральные округа разные). В этом интервью Макар Герман говорит здравые для CIO вещи. Мол, не зачем мне быть зависимым от производителей ПО и держать большой штат ИТ-специалистов. Он рассматривает возможность ухода в "облака" и использования salesforce.com и сервисов Google для работы пермской администрации. Журналист его спрашивает про безопасность, а ему в ответ - нет ничего у нас секретного; все что есть и так защищено по самое некуда. А остальное все равно где хранить - в Европе, Китае, Австралии или России. Здравый подход. Вот только как к этому отнесется местное ФСБ?..

17.1.11

ЕГЭ приравняли к информации ограниченного доступа

Согласно законопроекту № 391377 задания ЕГЭ теперь считаются информацией ограниченного доступа, а порядок разработки, использования и хранения этих заданий (включая требования к режиму их защиты, порядку и условиям размещения сведений, содержащихся в контрольных измерительных материалах, в сети "Интернет") устанавливается Рособрнадзором.

Самое забавное, что по этому законопроекту за разглашение ЕГЭ несут ответственность не только те, кто проводит экзамен, но и те, кто его сдают (в период проведения ЕГЭ). Правда, непонятно по какой статье. Ответственность за разглашение информации ограниченного доступа у нас нет.

Дальше больше. Согласно последним веяниям под данную задачу создается федеральная и куча региональных информационных систем, необходимые для информационного обеспечения проведения единого государственного экзамена, различных иных экзаменов, аттестаций, олимпиад и т.п. Порядок обеспечения защиты сведений в этих системах устанавливает уже не Рособрнадзор, а Правительство.

Все участники процесса сбора сведений о проводящих или сдающих ЕГЭ, а также иные экзамены в ВУЗы, школы, ПТУ/техникумы и т.п. могут обрабатывать персданные без согласия субъектов этих самых ПДн. В качестве ремарки замечу, что в последнее время мне кажется, что наши законники уже и сами не рады ФЗ-152. Сначала они приняли закон, требующий получения согласия субъектов ПДн на каждый чих, а потом принимают частные нормы, разрешающие это самое согласие не получать. А все для того, чтобы жить как прежде, но при этом перед Евросоюзом отчитаться о наличии у нас законодательства о персданных.

14.1.11

Новый журнал по ИБ банков

Журнал "BIS Journal - Информационная безопасность банков" - специализированное отраслевое периодическое издание об информационной безопасности банков и кредитно-финансовых организаций, первое и единственное в России.

Издание отраслевого журнала осуществляется при поддержке государственных отраслевых регуляторов – Банка России, ФСБ, ФСТЭК, Роскомнадзора, при участии МВД и Росфинмониторинга, в партнерстве с сообществами АРБ и ABISS, формируемой в настоящее время саморегулируемой организацией (СРО).

Журнал "BIS Journal - Информационная безопасность банков" - это оперативная, достоверная и полная информация по всем актуальным аспектам отрасли:
  • угрозы и решения (инструментарий информационных атак и средства защиты);
  • нововведения в области законодательства, регламентов и стандартов;
  • текущие требования регуляторов;
  • потребности подразделений информационной банков;
  • текущая ситуация и динамика развития рынка предложений интеграторов;
  • субъекты инфраструктуры - консалтинговые, аудиторские, образовательные, страховые структуры, деловые мероприятия и информационное обеспечение.

Интернет-версия журнала...

Новая книга по ИБ

Совершенно случайно купил новую книгу - "Обеспечение информационной безопасности бизнеса" - ее анонса даже на сайте издательства "Альпина Паблишерз" в Интернете нет. Судя по выходным данным, она издана в 2011-м году. Книга повторяет название уже выпущенного ранее издания почти тем же авторским коллективом. Тумана добавляет фраза "2-е издание, переработанное и дополненное".

(Это фото "первого" издания)

На самом деле - это не 2-е издание, а практически новая книга. С ориентацией на банки (издана под редакцией А.П.Курило). С большим упором на различные стандарты - СТО БР ИББС, COSO, CoBIT, ITIL, ISO 27001. Книга страдает, на мой взгляд, излишней академичностью, но учитывая почти полное отсутствие попыток подвести базу под ИБ в России, это может быть и неплохо. Большое раздел посвящен оценке ИБ. Но не измерению отдельных ее элементов, процессов или продуктов, а именно общей оценке ИБ предприятия. Почти четверть книги посвящена работе с персоналом в контексте ИБ - мотивация, моделирование угроз, сообщники внутри организации и т.д.

В общем, книга интересная в определенном смысле - я не пожалел потраченных денег ;-)

13.1.11

Оцени свой уровень безопасности онлайн

На сайте IT Policy Compliance запустили серию онлайн-инструментов для самооценки по вопросам ИБ. На сегодняшний день работают следующие инструменты, которые позволяют не только провести самооценку, но и сравнить себя с другими по отрасли (benchmarking):
  • Структура и стратегия ИБ
  • Управление политиками ИБ
  • Использование стандартов ИБ
  • Управление процедурными мерами ИБ
  • Управление техническими мерами ИБ
  • Управление информационными активами
  • Управление уязвимостями и угрозами
  • Репортинг и управление рисками
  • Финансовое влияние.
Достаточно интересные инструменты, построенные на базе анализа данных, собранных в 3600 компаниях из 40 различных секторов экономики. Хотя надо учитывать, что эти инструменты очень сильно заточены под CoBIT и ISO 2700x и если вы им не следуете (например, потому что вам не надо по причине размера вашей компании или ее уровня зрелости), то результаты могут вас разочаровать.

Dell покупает SecureWorks

4 января известный производитель компьютеров - компания Dell, объявила о приобретении известного западного игрока рынка Security-as-a-Service - компании SecureWorks. Детали сделки не разглашаются, но известно, что эта покупка - не первая в череде приобретений Dell, сделанных за последнее время с целью выхода на рынок IT-as-a-Service. Впрочем мотивы Dell понятны - при таком объеме звонков в службу поддержки по поводу неработающих проданных компьютеров логично предположить, что часть из них может касаться и безопасности; неустановленный вовремя патч, вирусная эпидемия, уязвимость и т.д.

ЗЫ. Правда, Dell'у будет сложно бороться на этом рынке с IBM, Verizon, AT&T и т.д. Мало кто из заказчиков воспринимает Dell как игрока на рынке безопасности...

12.1.11

Президент запретил Яндекс и mail.ru

Итак, законопроект о "О защите детей от информации, причиняющей вред их здоровью и развитию", о котором я писал два года назад, подписан 29 декабря Президентом Медведевым. Он определяет классификацию информации для детей разных возрастов и определяет требования по доступу к данной информации. Касается законопроект и информационно-телекоммуникационных сетей.

Теперь, например, доступ к фотографиям или описаниям, побуждающим к потреблению алкогольной или спиртосодержащей продукции, а также пива, доступ должен быть ограничен детям до 12 лет. Доступ детей до 16 лет к видеороликам катастроф, нецензурным словам и фото сексуального характера должен быть запрещен. И т.д.

В законе указывается, что контроль и надзор возлагается на специальный орган исполнительной власти, который среди прочего будет устанавливать и требования к средствам защиты детей от негативной информации, применяемым в обязательном порядке у операторов связи. Что это за орган пока непонятно. Но логично предположить, что это будет Роскомнадзор, уже занимающийся надзором в сфере массовых коммуникаций и Интернет. Так что ждем очередной волны требований, проверок и т.п. Ибо защита детей - это идея фикс у руководства страны на ближайшие годы.

11.1.11

Срок уведомления по письму шести сдвинут на лето

Очередной сдвиг сроков... То закон о персданных в "технической" части сдвинут на полгода. То, вот теперь, срок уведомления о присоединении к СТО Банка России сдвинули. И тоже на полгода - до 30 июня 2011 года. Также в разъяснении ЦБ указано, что банк не должен писать 4 письма в адреса 4-х регуляторов - достаточно одного письма в центральный аппарат ЦБ, откуда соответствующие сведения будут направляться уже по нужным адресам ФСТЭК, ФСБ и РКН.

Разъяснение ЦБ тут...