Я в эту тему не лезу обычно, поэтому просто сообщу, что законопроект "Об электронной подписи" был принят 25 февраля во втором чтении. Законопроект тут, а законопроект "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об электронной подписи" тут.
28.2.11
Сертифицированная в ФСБ криптография в решениях Cisco
Часто спрашивают в последнее время про то, что мой работодатель делает в области соответствия требованиям российского законодательства, а в частности, требованиям ФСБ по ввозу и использованию криптографии.
Сваяли два документа. Первый, про сертификацию наших решений в ФСБ, сегодня. Второй, про импорт продукции с функциями шифрования, завтра.
Сваяли два документа. Первый, про сертификацию наших решений в ФСБ, сегодня. Второй, про импорт продукции с функциями шифрования, завтра.
Сертифицированная в ФСБ криптография в решениях Cisco
25.2.11
ISO 27037 - как собирать доказательства
Готовится сейчас в ISO новый стандарт - ISO 27037 "Information technology -- Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence", посвященный описанию и систематизации процесса сбора доказательств во время расследования компьютерных инцидентов. Стандарт конечно высокоуровневый (как и все стандарты ISO) и уступает сугубо практическим рекомендациям МинЮста США и CERT/CC, но все-таки это международный стандарт, устанавливающий общий язык для всех специалистов.
Преимуществом является использование блок-схем, упрощающих последовательность действий в тех или иных ситуациях, которые могут возникнуть при сборе доказательств. Хотя надо понимать, что эти рекомендации применимы только в том случае, если вы не планируете доводить дело до суда. В этом случае самостоятельно собранные доказательства не будут восприняты судом, как законно полученные ;-(
Преимуществом является использование блок-схем, упрощающих последовательность действий в тех или иных ситуациях, которые могут возникнуть при сборе доказательств. Хотя надо понимать, что эти рекомендации применимы только в том случае, если вы не планируете доводить дело до суда. В этом случае самостоятельно собранные доказательства не будут восприняты судом, как законно полученные ;-(
24.2.11
Презентации с Магнитогорска
Чтобы место не пустовало ;-) Выложили презентации с Магнитогорска - http://www.ib-bank.ru/ibb/imt
- Posted using my iPhone
- Posted using my iPhone
23.2.11
22.2.11
Законопроект о лицензировании перенесли
Законопроект о внесении изменений в ФЗ-128 "О лицензировании отдельных видов деятельности" вчера снова перенесли. Уже во второй раз ;-( На сайте Госдумы выложен список отклоненных и принятых ко второму чтению поправок. По "нашей" теме из принятых поправок интересно изменение формулировки пункта про криптографию. Вместо "разработка, производство, реализация и техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, а также выполнение работ (оказание услуг) в области шифрования информации" планируется "разработка, производство, распространение, шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)". С одной стороны расширился перечень ситуаций, подлежащих лицензированию (не только СКЗИ, но и любые ИС, использующие СКЗИ), а с другой четко прописали, что лицензия "для собственных нужд" больше не понадобится.
Ну и в качестве новых веяний теперь можно получить лицензию на осуществление какого-либо вида деятельности в электронном виде с ЭЦП.
ЗЫ. Лицензиатам могут быть интересны поправки в части их проверок со стороны органа по лицензированию.
Ну и в качестве новых веяний теперь можно получить лицензию на осуществление какого-либо вида деятельности в электронном виде с ЭЦП.
ЗЫ. Лицензиатам могут быть интересны поправки в части их проверок со стороны органа по лицензированию.
21.2.11
Размышления о корректности встраивания криптосредств
Вообще, я не в восторге от того, что, а точнее КАК, ведет себя ФСБ на рынке защиты информации КОММЕРЧЕСКИХ структур. Уж очень непросто выполнять все их требования. А уж про доступ к этим требованиям я вообще молчу - все документы закрытые и даже лицензиаты получают не сами документы и даже не выписки из них, а выписки из выписок. Но пост о другом. Все-таки некоторые требования ФСБ по зрелому размышлению выглядят достаточно здраво (вопрос реализации оставим в стороне).
В первую очередь речь идет о встраивании СКЗИ в какие-либо приложения, системы или устройства. Натолкнуло меня на это размышление презентация Юрия Маслова из КриптоПро на конференции в Магнитогорске. Я раньше как-то не задумывался об этом (да и не сталкивался с этим почти), но... почти все (а может и без почти) прикладные программы (в презентации речь шла о ДБО), которые сегодня заявляют об использовании сертифицированных криптопровайдеров, заставляют рисковать их пользователей. Ведь что заявляют их разработчики?.. Мол мы встроили КриптоПро CSP или Инфотекс VipNet CSP или других 6 или 7 сертифицированных криптобиблиотек, а значит вы можете спать спокойно, т.к. надежность этих СКЗИ подтверждено сертификатом ФСБ.
Да, это так. Сертификаты есть... но на криптопровайдеры, а не на решения, их использующие. Где гарантия, что они корректно используются? Где гарантия, что они вообще используются? Что мешает разработчику просто встроить их в свой софт, но не вызывать ни одной из их функций? А если вызывать, то неправильно? А если правильно, то не обеспечивать защиту от подмены вызова? На каждый из таких вопросов, ответа нет. Более того, его никто и не даст, т.к. такая гарантия должна быть подтверждена независимой стороной. Можно много спорить о сложности процесса сертификации в ФСБ (и невозможности попасть в него без связей), но он дает именно такую гарантию (пусть и не финансовую и не репутационную). Независимых аудиторов кода СКЗИ в России попросту нет. А если нет, то они малоизвестны рынку и цена их слову - грош (т.к. и они ни за что не несут ответственности).
Собственно аналогичная ситуация не только с ДБО, но и с любой СКЗИ. С теми же VPN-решениями. Даже ответ ФСБ на эту тему есть. Вот только мало кто задумывается об этой проблеме. Действительно, риски взлома систем из-за некорректного встраивания СКЗИ пока невелики (именно что пока). А раз так, то зачем тратить месяцы и тысячи долларов на такую проверку? Потребитель (банк) все равно не понимает разницы между сертифицированной системой ДБО и системой ДБО, использующей сертификацированную СКЗИ. Разработчик пользуется незнанием потребителя и уверен, что его продукцию купят и так. Клиент банка вообще почти всегда виноват. А учитывая его низкую квалификацию и доказать-то ничего не сможет. Регулятор тоже мало озабочен данной проблемой. Что в итоге? Все довольны! До начала массовых атак именно на этот механизм защиты систем ДБО и других аналогичных решений, использующих встроенную сертифицированную криптографию.
В первую очередь речь идет о встраивании СКЗИ в какие-либо приложения, системы или устройства. Натолкнуло меня на это размышление презентация Юрия Маслова из КриптоПро на конференции в Магнитогорске. Я раньше как-то не задумывался об этом (да и не сталкивался с этим почти), но... почти все (а может и без почти) прикладные программы (в презентации речь шла о ДБО), которые сегодня заявляют об использовании сертифицированных криптопровайдеров, заставляют рисковать их пользователей. Ведь что заявляют их разработчики?.. Мол мы встроили КриптоПро CSP или Инфотекс VipNet CSP или других 6 или 7 сертифицированных криптобиблиотек, а значит вы можете спать спокойно, т.к. надежность этих СКЗИ подтверждено сертификатом ФСБ.
Да, это так. Сертификаты есть... но на криптопровайдеры, а не на решения, их использующие. Где гарантия, что они корректно используются? Где гарантия, что они вообще используются? Что мешает разработчику просто встроить их в свой софт, но не вызывать ни одной из их функций? А если вызывать, то неправильно? А если правильно, то не обеспечивать защиту от подмены вызова? На каждый из таких вопросов, ответа нет. Более того, его никто и не даст, т.к. такая гарантия должна быть подтверждена независимой стороной. Можно много спорить о сложности процесса сертификации в ФСБ (и невозможности попасть в него без связей), но он дает именно такую гарантию (пусть и не финансовую и не репутационную). Независимых аудиторов кода СКЗИ в России попросту нет. А если нет, то они малоизвестны рынку и цена их слову - грош (т.к. и они ни за что не несут ответственности).
Собственно аналогичная ситуация не только с ДБО, но и с любой СКЗИ. С теми же VPN-решениями. Даже ответ ФСБ на эту тему есть. Вот только мало кто задумывается об этой проблеме. Действительно, риски взлома систем из-за некорректного встраивания СКЗИ пока невелики (именно что пока). А раз так, то зачем тратить месяцы и тысячи долларов на такую проверку? Потребитель (банк) все равно не понимает разницы между сертифицированной системой ДБО и системой ДБО, использующей сертификацированную СКЗИ. Разработчик пользуется незнанием потребителя и уверен, что его продукцию купят и так. Клиент банка вообще почти всегда виноват. А учитывая его низкую квалификацию и доказать-то ничего не сможет. Регулятор тоже мало озабочен данной проблемой. Что в итоге? Все довольны! До начала массовых атак именно на этот механизм защиты систем ДБО и других аналогичных решений, использующих встроенную сертифицированную криптографию.
15.2.11
Банковская безопасность в Магнитогорске
И вот я в Магнитогорске, на конференции по банковской безопасности. Программа выступлений начнется только утром (хотя тут уже 4 утра), а пока первые впечатления.
О безопасности я подумал еще в такси из Магнитогорска. Представьте себе картину. Ночь, заснеженная трасса, поземка, переходящая в метель, видимость метров 50, редкие машины, слепящие дальним светом... и мое такси, стремительно несущееся по трассе Магнитогорск-Абзаково со скоростью 100-120 км. В повороты этот ждигит входит на 80-ти. Ремня безопасности на заднем сиденье нет ;-( Поневоле задумаешься о безопасности... своей жизни и информации в моей голове ;-)
Дальше больше. Приехали в 4 утра к месту конференции. А дальше как в "Неуловимых мстителях": "...а вдоль дороги мертвые с косами стоять и тишина!" Мертвецов не видел, но тишина гнетущая, вокруг ни души и не видно ни зги. Ни фонаря, ни указателя (может он и был, но во тьме его было не видать). На улице минус 20, а я в ботиночках на тонкой подошве ;-) Хорошо, что 25-тилетний туристический опыт помог быстро сориентироваться на местности. Благо 3G был и сайт отеля с картой территории я смог загрузить. Дальше все было проще - по вьющейся сквозь деревья тропинке добрался до корпуса, разбудил дежурную, получил вожделенный ключ от номера и заселился. Вот так и закончился первый день конференции.
ЗЫ. Заметки с выступлений в реальном времени буду в твиттер постить, а с утра видимо размещу краткие итоги первого дня.
О безопасности я подумал еще в такси из Магнитогорска. Представьте себе картину. Ночь, заснеженная трасса, поземка, переходящая в метель, видимость метров 50, редкие машины, слепящие дальним светом... и мое такси, стремительно несущееся по трассе Магнитогорск-Абзаково со скоростью 100-120 км. В повороты этот ждигит входит на 80-ти. Ремня безопасности на заднем сиденье нет ;-( Поневоле задумаешься о безопасности... своей жизни и информации в моей голове ;-)
Дальше больше. Приехали в 4 утра к месту конференции. А дальше как в "Неуловимых мстителях": "...а вдоль дороги мертвые с косами стоять и тишина!" Мертвецов не видел, но тишина гнетущая, вокруг ни души и не видно ни зги. Ни фонаря, ни указателя (может он и был, но во тьме его было не видать). На улице минус 20, а я в ботиночках на тонкой подошве ;-) Хорошо, что 25-тилетний туристический опыт помог быстро сориентироваться на местности. Благо 3G был и сайт отеля с картой территории я смог загрузить. Дальше все было проще - по вьющейся сквозь деревья тропинке добрался до корпуса, разбудил дежурную, получил вожделенный ключ от номера и заселился. Вот так и закончился первый день конференции.
ЗЫ. Заметки с выступлений в реальном времени буду в твиттер постить, а с утра видимо размещу краткие итоги первого дня.
14.2.11
Открыто российское отделение Cloud Security Alliance
Ассоциация профессионалов в области информационной безопасности RISSPA объявляет об открытии российского отделения Cloud Security Alliance, созданного для популяризации и содействия применению лучших практик и мирового опыта защиты “облачных вычислений” в российских условиях.
Cloud Security Alliance является некоммерческой организацией, созданной для содействия использованию передового опыта при обеспечении безопасности "облачных вычислений", а также повышения уровня осведомленности по данной тематике всех заинтересованных сторон.
CSA выделяет для себя целый ряд задач, среди которых:
Российское отделение CSA ставит перед собой следующие цели:
Открытие российского представительства Cloud Security Alliance стало возможным благодаря инициативе и слаженной работе группы экспертов RISSPA, которые приглашает всех кому интересна тема безопасности “облачных вычислений” присоединяться к дискуссионным группам Cloud Security и Безопасность в виртуальной среде на сайте RISSPA, а также к группе Cloud Security Alliance, Russian Chapter в сети LinkedIn.
Cloud Security Alliance является некоммерческой организацией, созданной для содействия использованию передового опыта при обеспечении безопасности "облачных вычислений", а также повышения уровня осведомленности по данной тематике всех заинтересованных сторон.
CSA выделяет для себя целый ряд задач, среди которых:
- Содействие нахождению взаимопонимания между потребителями и поставщиками услуг в части требований безопасности и контроля качества.
- Проведение независимых исследований в части защиты "облачных вычислений".
- Разработка и проведение программ повышения осведомленности в области облачных вычислений и обеспечению безопасности.
- Разработка руководств и методических рекомендаций по обеспечению безопасности "облачных вычислений".
Российское отделение CSA ставит перед собой следующие цели:
- Способствование повышению уровня доверия «облачным» вычислениям в части обеспечения безопасности.
- Проведение анализа российских и зарубежных поставщиков услуг на предмет соответствия лучшим практикам при обеспечении безопасности "облачных вычислений".
- Локализация и адаптация руководств и методических рекомендаций Cloud Security Alliance и др. организаций в области безопасности "облачных вычислений".
- Повышение осведомленности в вопросах безопасности "облачных вычислений": предоставление возможностей участия в профессиональных дискуссиях, проведение тематических семинаров, участие в профильных выставках и конференциях, разработка и проведение учебных программ.
- Участие в инициативе Cloud Security Alliance - The Trusted Cloud.
Открытие российского представительства Cloud Security Alliance стало возможным благодаря инициативе и слаженной работе группы экспертов RISSPA, которые приглашает всех кому интересна тема безопасности “облачных вычислений” присоединяться к дискуссионным группам Cloud Security и Безопасность в виртуальной среде на сайте RISSPA, а также к группе Cloud Security Alliance, Russian Chapter в сети LinkedIn.
11.2.11
Прямой эфир со мной на РБК-ТВ
Выступал вчера на РБК-ТВ в программе "Сфера интересов". Тема была посвящена вредоносным программам и средствам борьбы с ними. Выступали вместе с Рустэмом Хайретдиновым из Infowatch. Получилось вот что.
Также будут повторы и по самому телеканалу:
Также будут повторы и по самому телеканалу:
- суббота - 17.35
- воскресенье - 10.35
- воскресенье - 23.05
Cisco вступила в ТК 362 и ТК 22
Компания Cisco в моем лице стала полноправным членом ТК 362 "Защита информации" (в частности ПК3 по безопасности банков) и ПК 27 ТК 22 "Информационная безопасность". Будем теперь активнее участвовать в анализе разрабатываемых стандартов и их корректировке в соответствие с лучшими практиками и мировыми тенденциями.
10.2.11
Виртуализация в прицеле ФСБ
В понедельник выступал на Инфофоруме на заседании по новым технологиям в контексте ИБ. Перед моим докладом было несколько интересных докладов. Если не брать в расчет постоянно всплывающий "Феникс" (это защищенная ОС, которая теперь именуется "Фебос"), в котором появился свой "гипервизор" для виртуализации, то основной акцент в докладах было сделано на три технологии - облака, виртуализация и мобильная безопасность. В "облаках" сцепились Oracle и Microsoft, но последняя вела себя гораздо корректнее и Владимир Мамыкин не наезжал на Oracle, который вел себя вызывающе, заявляя, что кроме них достойных ИТ-производителей облаков, СУБД, ОС, middleware и т.д. просто нет.
А вот в области безопасности удаленного доступа с мобильных устройств была конкуренция между Атласом и НИИ СОКБ, каждый из которых представил свое решение по защите. НТЦ Атлас показывал мобильный телефон с российской сертифицированной криптографией, а НИИ СОКБ представил новую разработку для защиты смартфонов - ЦУКСС (Центр управления корпоративной сотовой связью), который не только должен организовывать сертифицированный SSL VPN на базе iPhone, iPad, Symbian и Windows Mobile, но и управлять защитой мобильных устройств. Если они действительно доведут проект до конца, то это будет очень интересное решение.
И наконец, в части виртуализации выступал представитель ФСБ (!). В докладе рассматривались различные вопросы безопасности виртуальных сред, что демонстрирует внимание этого регулятора к этому вопросу. А учитывая, что один из ИБ-интеграторов в инициативном порядке разработал для ФСТЭК проект РД по безопасности виртуализации, то можно предположить, что скоро наши регуляторы смогут вполне адекватно оценивать с точки зрения ИБ инфраструктуру виртуализации.
Вот такие новости...
А вот в области безопасности удаленного доступа с мобильных устройств была конкуренция между Атласом и НИИ СОКБ, каждый из которых представил свое решение по защите. НТЦ Атлас показывал мобильный телефон с российской сертифицированной криптографией, а НИИ СОКБ представил новую разработку для защиты смартфонов - ЦУКСС (Центр управления корпоративной сотовой связью), который не только должен организовывать сертифицированный SSL VPN на базе iPhone, iPad, Symbian и Windows Mobile, но и управлять защитой мобильных устройств. Если они действительно доведут проект до конца, то это будет очень интересное решение.
И наконец, в части виртуализации выступал представитель ФСБ (!). В докладе рассматривались различные вопросы безопасности виртуальных сред, что демонстрирует внимание этого регулятора к этому вопросу. А учитывая, что один из ИБ-интеграторов в инициативном порядке разработал для ФСТЭК проект РД по безопасности виртуализации, то можно предположить, что скоро наши регуляторы смогут вполне адекватно оценивать с точки зрения ИБ инфраструктуру виртуализации.
Вот такие новости...
9.2.11
Cisco разродилась кучей полезных документов
Разродились мы (т.е. Cisco) за последнее время интересными документами. Например, американское исследование отношения к PCI DSS. Отношение к этому стандарту поменялось в лучшую сторону. Второй отчет посвящен ежегодному анализу состояния ИБ в мире в 2010-м году. Аналитика, тенденции, рекомендации...
Также в дополнение к порталу Cisco SIO мы запустили новый ресурс для обмена опытом защиты личных данных и соблюдения нормативных требований к информационной безопасности. На нем много интересной и полезной на мой взгляд информации. Например, правила выбора ASP-провайдера, пример SLA, опросник и правила выбора провайдеров облаков и аутсорсинга и т.д.
Также в дополнение к порталу Cisco SIO мы запустили новый ресурс для обмена опытом защиты личных данных и соблюдения нормативных требований к информационной безопасности. На нем много интересной и полезной на мой взгляд информации. Например, правила выбора ASP-провайдера, пример SLA, опросник и правила выбора провайдеров облаков и аутсорсинга и т.д.
8.2.11
7.2.11
Начальник Управления К отправлен в отставку
Как-то эта новость прошла мимо профильных сайтов и изданий, поэтому перескажу - Борис Мирошников, глава Управления К (БСТМ) МВД отправлен в отставку Президентом Медведевым.
Собственно ничего сверхестественного в этом событии нет. Врядли из-за обвинений Мирошникова Чичваркиным. Официальная причина отставки - достижение предельного срока службы генерал-полковника, в бытность свою побывавшим заместителем начальника Управления контрразведывательных операций ФСБ, а затем начальником Управления компьютерной и информационной безопасности ФСБ.
Собственно ничего сверхестественного в этом событии нет. Врядли из-за обвинений Мирошникова Чичваркиным. Официальная причина отставки - достижение предельного срока службы генерал-полковника, в бытность свою побывавшим заместителем начальника Управления контрразведывательных операций ФСБ, а затем начальником Управления компьютерной и информационной безопасности ФСБ.
4.2.11
Что лучше: тратить или не тратить на ИБ?
Интересная статистика. Не то, чтобы она открыла Америку, но до этого мало было исследований, сравнивающих компании, тратящих и нетратящих деньги на ИБ.
3.2.11
Другие стандарты ISO по ИБ - 2
И последняя порция стандартов по ИБ, которые разрабатывали другие технические комитеты ISO.
2.2.11
Стандарты ISO по ИБ (ПК 68)
Помимо 27-го подкомитета в ISO немалое внимание безопасности уделяет 68-й технический комитет, стандартизующий финансовый сектор. По "нашей" теме ТК 68 принял около 20 стандартов.
1.2.11
Проекты стандартов ISO по ИБ (ПК 27)
Вчера я выложил карту действующих стандартов ПК 27 ISO в области ИБ. А сейчас выкладываю карту проектов новых стандартов этого же комитета. Ситуация меняется - и хотя технологическим стандартам внимание по прежнему уделяется, но все меньше и меньше. Основной акцент делается на управлении ИБ, управлении инцидентами, прикладной безопасности, защите персональных данных, управлении уязвимостями, безопасности аутсорсинга и т.д.
Подписаться на:
Сообщения (Atom)
