29.4.11

Что волнует CISO на Западе?

Если суммировать все, что сейчас говорится и пишется на Западе относительно информационной безопасности, то можно выделить 5 направлений, которые волнуют (или должны взволновать) руководителя службы ИБ в настоящий момент (или будут стоять на повестке дня в ближайшие полгода-год):
  1. Безопасность мобильных устройств. Учитывая распространение iPad, iPhone, BlackBerry, Android, Windows Phone и т.д., вопрос защиты всего этого мобильного безобразия - непраздный. Неслучайно у нас (в Cisco) появился термин "Borderless Network", т.е. "Сеть без границ". Это не значит, что границ нет. Просто исчез классический периметр - он стал размытым и разнесенным по сотням и тысячам мобильных устройств сотрудников, клиентов и партнеров, которые подключаются к корпоративной/ведомственной сети.
  2. Управление рисками и угрозами при общении с третьими лицами. Аутстаффинг, аутсорсинг, облака, managed services... Все это заставляет задуматься о том, как обезопасить себя от различных рисков, "владельцами"/"авторами" которых являетесь не вы и не ваши сотрудники. Собственно я тоже про это рассказывал на октябрьском CSO Forum.
  3. Утечка данных. Поутихла было эта тема и интерес к DLP пошел на спад... ан нет. Опять все началось. Видимо WikiLeaks сделал свое черное дело ;-)
  4. Программа управления ИТ-рисками. Пора уходить отсамокопания и попытка бороться с угрозами - вирусами, червями, спамом, DDoS, утечками и т.д. Это важно, но это попытка делать то, что никого не интересует. Бизнес всех этих угроз либо не понимает, либо не воспринимает. В отличие от рисков, которые понятны и которые должны быть в русле единой стратегии управления рисками на предприятии.
  5. Стратегия и архитектура ИБ. Не раз уже твердили миру, что хватит заниматься заплаточной безопасностью, а пора задуматься об архитектуре (как должно быть правильно) и стратегии (как достичь этого состояния) ИБ. Про это я тоже уже писал не раз.

28.4.11

Число атак на SCADA растет

Очередной отчет... на этот раз от McAfee - "In the Dark: Crucial Industries Confront Cyberattacks" - посвящен не очень публичной теме - атакам на АСУ ТП (SCADA). Согласно опросу 200 руководителей критически важных объектов (энергетика, нефтянка, газо- и водоснабжение) в 14 странах мира 80% из них сталкивались с масштабными кибератаками, а 25% подвергались даже шантажу со стороны злоумышленников. 30% компаний не готовы к таким атакам (я думаю, что на практике не готовы большее число организаций), а 40% думают, что попадут в прицел хакеров в следующем году.

Основным способом атак на SCADA около 70% организаций называют вредоносное ПО, специально разработанное для них. Интересно, что около половины электроэнергетиков нашли у себя следы Stuxnet, который изначально разрабатывался для АЭС в Бушере (Иран). Хотя сейчас я уже и задумываюсь, а для Бушера ли только разрабатывался этот "вирус"?..

ЗЫ. Я уже несколько раз писал про эту тему и, видимо, теперь придется писать про нее чаще.

27.4.11

Cisco открывает производство в России

Не могу не поделиться ;-) Про наш с С-Терра модуль шифрования, сертифицированный в ФСБ, я уже писал. Про сертифицированное производство - тоже. Правда, в последнем случае речь идет не о реальном производстве. Серийное производство в контексте сертификации не означает ни производства комплектующих, ни их сборки на территории Российской Федерации; речь идет только об оценке соответствия массово поставляемого оборудования. Такой подход можно назвать псевдо-сертификацией производства так как по сути представляет собой быструю повторную сертификацию. Однако использовать данную схему для оборудования, производимого за пределами России, непросто – обязательно требуется российское юридическое лицо, являющееся лицензиатом соответствующего органа по сертификации. На сегодняшний день ни одна зарубежная компания, имеющая в России свои представительства, не имеет такой лицензии и вынуждена обращаться за помощью к соответствующим организациям, что мы и сделали с Kraftway или АМТ..

И вот сегодня мы анонсируем, что производственная компания «Альтоника» станет первым независимым российским производителем основных электронных узлов для оборудования  Cisco Systems. Речь идет о производстве главных электронных узлов для VPN-модуля Cisco. Следует отметить уникально высокую степень локализации этого производства: на территории России будет осуществляться как монтаж печатных плат, так и финишная сборка и тестирование.


«В настоящее время на российском рынке почти нет компаний, способных обеспечить высокое качество и ритмичность поставок при серийном производстве электроники на контрактных условиях. Рынок российского контрактного производства электроники только развивается, и в этих условиях найти партнера на серийный выпуск высокотехнологичного электронного оборудования непросто, — говорит директор ООО «ПК Альтоника» Семен Лукачев. — Мы вкладываем все силы в развитие производства, чтобы вырастить компанию-лидера, способную обеспечивать уникальные и востребованные услуги по комплексному серийному производству электроники на мировом уровне».


Внимание к организации производственного процесса, использование современных технологий и существенные производственные мощности позволили ООО «ПК Альтоника» стать первым российским производителем главного электронного узла VPN-модулей Cisco. Этот продукт повышает безопасность передачи данных по корпоративным сетям — как внутри организаций, так и между филиалами, сотрудниками на удаленной работе. VPN-модуль Cisco обеспечивает конфиденциальность передачи персональных данных, финансовых транзакций и других операций. Маршрутизаторы Cisco, оборудованные таким модулем, могут использоваться для создания географически распределенных сетей.

Если убрать маркетинг, то это реально круто ;-) Одно дело корявая отверточная сборка из запчастей, привозимых из-за границы. И совсем другое дело - монтаж печатных плат.

ЗЫ. Процедура производства согласована с ФСБ. Так, на всякий случай... ;-)

26.4.11

Тенденции мира уязвимостей

Еще один отчет мне довелось посмотреть. Он описывает тенденции в области исследований уязвимостей от компании Frost & Sullivan за 2010 год. Очень познавательное чтиво, показывающее, куда стоит направить свой взор специалистам по информационной безопасности.

Итак некоторые из выводов сделанных Frost & Sullivan:
  • число зафиксированных публично уязвимостей возросло на 62% по сравнению с 2009-м годом.
  • уязвимостей высокой степени риска было зафиксировано большинство - почти 70% - в 4 раз больше, чем уязвимостей средней степени риска.
  • наиболее уязвимой пятеркой приложений признаны Adobe (вдвое больше дыр, чем в ближайшем "конкуренте"), MS Office, RealPlayer, MS IE и Apple Safari. Adobe - это Acrobat и Reader, Shockwave Player, Air и FlashPlayer. Немного выбивается из общей картины HP OpenView NNM, который входит в десятку самых уязвимых приложений 2010-го года.
  • более половины всех уязвимостей приходится на бизнес- и мультимедиа-приложения. В СЗИ зафиксировано чуть более одного процента всех уязвимостей.
  • по операционкам лидером по числу дыр остается Windows, но MacOS наступает на пятки уже обошла даже Linux, которая находится на третьем месте по числу уязвимостей
  • наиболее часто (треть всех проблем) встречаются уязвимостей, связанные с буфферами (в т.ч. переполнение буффера, но не ограничиваясь только им). На втором месте code injection (SQL Injection на 9-м месте). Интересно, что тут возникает некоторая нестыковка с цифрами Veracode. Возможно это связано с тем, что Frost & Sullivan анализировал именно зафикисированные и опубликованные уязвимости, а Veracode просто анализировал различные приложения. Возможно была нестыковка в терминологии. F&S использовал CWE (Common Weakness Enumeration) для описания типов уязвимостей.
  • результатом использования большинства (около 50%) уязвимостей является выполнение некоего кода. На втором месте - отказ в обслуживании.
  • рост числа уязвимостей в продукции Apple связан с ростом ее популярности.

Какие выводы делает Frost & Sullivan? Во-первых, большое внимание злоумышленников будет направлено на SCADA-решения. Во-вторых, разработчикам мобильных устройств и приложений для них тоже придется уделять большее внимание вопросам борьбы с уязвимостями. В-третьих, исследования уязвимостей - это необходимая задача, от которой никуда не уйти. И, наконец, разработчики ПО должны больше внимания уделять правилам безопасного программирования.

Жаль, что Frost & Sullivan анализировал только иностранные источники информации об уязвимостях - CVE, NVD, а также сайты зарубежных компаний - iDefense, Secunia и т.д. У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю. Это Digital Security Research Group и Positive Technologies Reseacrh Team. Первая ориентируется преимущественно на приложения SAP и Oracle, а вторая - преимущественно на Web-приложения.

25.4.11

Новое исследование Verizon по угрозам

Компания Verizon, вслед за Veracode, тоже порадовала своим новым отчетом по угрозам - "2011 Data Breach Investigation Report". Делала она его совместно с Секретной Службой США и датским управлением по преступлениям в сфере высоких технологий.

Из интересных тенденций Verizon, пользуясь своей фирменной методологией анализа, отметила следующие:
  • число внешних угроз возросло (на 22%), а вот число инсайдерских атак снизилось на 31%
  • менее 1% атак идет со стороны бизнес-партнеров, а в 9% атак задействовано сразу несколько источников
  • на 10% возросло число различных форм проникновений злоумышленников, а на 11% - внедрение вредоносного кода; на 14% выросло число атак с физическим проникновением
  • на 31% снизились число несанкционированных действий, связанных с превышением привилегий; на 17% снизились число применений социального инжиниринга.
Интересно, но грустно, что большинство атак были не очень сложными (92%), а многие жертвы узнавали о своем взломе от третьих лиц (86%). Verizon отмечает, что почти всех инцидентов можно было бы избежать, затратив незначительные средства или применив корректирующие воздействия. Как пишут авторы отчета: "и хотелось бы нам сообщить о каких-либо позитивных изменениях, но порадовать читателей нам нечем".

22.4.11

60% всего ПО не соответствует требованиям ИБ

Уж сколько раз твердили миру... что SDLC придуман не просто так и при написании ПО надо учитывать не только классические принципы программирования, но и учитывать вопросы безопасности. Причем с самого начала проекта, чтобы не латать дыры постфактум. На днях компания Veracode опубликовала свой очередной, уже третий отчет "The State of Software Security Report", описывающий состояние текущего уровня защиты ПО.

Veracode проанализировала 4835 приложений (в прошлом отчете их было 2922) на разных языках программирования - Java, C/C++, .NET, ColdFusion и PHP; разного типа (компоненты, библиотеки, web и иные приложения) и разной формы "собственности" - внутренняя разработка, open source, аутсорсинговое ПО, коммерческое и т.д.

Краткие результаты таковы:
  • 8 из 10 Web-приложений провалили "тест" OWASP Top 10
  • более половины всех приложений имеют просто "никакой" уровень качества защиты ПО
  • CSS остается одной из распространенных проблем
  • большинство разработчиков остро нуждается в тренингах по вопросам ИБ
  • лучше всех защищены финансовые организации
  • даже разработчики средств защиты не следуют правилам безопасного программирования
  • для анализа ПО необходимо использовать и статический и динамический анализ (хотя первый и находит на порядок больше проблем).

21.4.11

У Leta новый проект

Компании, входящие в группу Leta продолжают радовать своей аналитикой. Совсем недавно Group-IB выпустила отличный отчет по состоянию "русской" компьютерной преступности, в котором рассматриваются основные угрозы, связанные с различными видами хакерской активности, анализируются основные услуги, предлагаемые компьютерной мафией, даются оценки доли «русского» сегмента общемирового рынка киберпреступности, а также приводятся прогнозы относительно тенденций развития данного рынка в этом году.

И вот у Leta новый отчет - "Информационная безопасность. Обзор Рисков. Ритейл". Если быть точным, это первый документ в рамках проекта по выпуску обзоров отраслевых рисков информационной безопасности. В целом неплохо, но я обратил внимание, что при ориентации на описании рисков, в документе не приводится ни оценка их вероятности, ни оценка размера ущерба. Хотя бы в качественной форме, чтобы иметь возможность приоритезировать описываемые риски. Но все может поменяться - Leta предлагает всем заинтересованным лицам принять участие в корректировке отчетов.

19.4.11

Нас будут защищать от информации по примеру США?!

14 апреля на сайте госзакупок был размещен заказ №0173100011511000028, состоящий аз 28-ми лотов. Из них меня заинтересовал 13-й лот, который называется "Зарубежный опыт регулирования ответственности участников правоотношений при использовании сети Интернет" (стоимость 973 тысячи рублей).

Цель НИР: проведение научного исследования и подготовка на его основе научного отчета, позволяющего определить основные существующие подходы в законодательстве зарубежных стран к правовому регулированию ответственности участников правоотношений при использовании сети Интернет за содержание размещаемой информации в сети информации.

Для достижения поставленной цели должны быть решены следующие задачи:
  1. изучение зарубежного законодательства по вопросу правового регулирования ответственности участников правоотношений при использовании сети Интернет за содержание размещаемой в сети информации (на примере таких стран, как США, Великобритания, Франция, Германия, Китай, Канада, Казахстан, Белоруссия);
  2. анализ и выявление особенностей правового регулирования в США, Великобритании, Франции, Германии, Китае, Канаде, Казахстане, Белоруссии в сфере обеспечения информационной безопасности;
  3. анализ правовых норм, на основе полученной выборки нормативных правовых актов по вопросу правового регулирования ответственности участников правоотношений при использовании сети Интернет за содержание размещаемой информации в сети информации, по следующим направлениям:
  • круг информации, за размещение которой наступает юридическая ответственность;
  • какие действия рассматриваются как правонарушение при размещении информации в сети Интернет;
  • установлено ли право блокирования или приостановки доступа к информационным ресурсам, кому предоставлено такое право, и на каких условиях;
  • порядок прекращения функционирования в национальном сегменте сети Интернет сайтов, содержащих информацию, распространение которой запрещено национальным законодательством, в том числе в интересах обеспечения информационной безопасности;
  • порядок блокирования доступа к таким сайтам, находящимся за рубежом;
  • на кого из участников правоотношений возлагается ответственность за содержание размещаемой в сети Интернет информации и характер установленной ответственности. 
В качестве результата НИР должны быть написаны:
  • научный отчет по теме исследования, включающего описание законодательства США, Великобритании, Франции, Германии, Китая, Канады, Казахстана, Белоруссии в области правового регулирования ответственности участников правоотношений при использовании сети Интернет за содержание размещаемой в сети информации, аналитические материалы, содержащие соответствующие нормативные правовые акты (отдельные нормы) указанных стран и результаты сравнительного исследования выявленных норм, регулирующих ответственность за содержание размещаемой в сети Интернет информации,
  • предложения по совершенствованию законодательства Российской Федерации в области правового регулирования ответственности участников правоотношений при использовании сети Интернет за содержание размещаемой в сети информации.
 Достаточно интересна реакция пресс-секретаря нашего премьера - Дмитрия Пескова, который согласовывал эту НИР; он поспешил опровергнуть выводы о том, что власти собираются ужесточать контроль за интернетом. "Речь об ограничениях в интернете не идет. Подобные выводы на основе опубликованного техзадания на научно-исследовательские работы абсолютно неверны".

Лично у меня тоже сложилось впечатление, что речь идет об ограничениях. Если не о них, то зачем затевать всю эту работу?

ЗЫ. Напрямую к нашей теме это отношение имеет опосредованное. Несмотря на то, что одной из задач стоит изучение правового регулирования темы ИБ, я считаю, что речь идет только об одной из составляющих ИБ, связанной с защитой человека (ну и государства до кучи) от негативной информации.

18.4.11

Что такое TEI?

Методик количественной оценки вклада ИТ (или ИБ) в бизнес существует немало. Помимо традиционных (ROI, TCO, NPV и т.д.) практически каждая консалтинговая и аналитическая компания предлагает свой подход. Одним из них является методика TEI (Total Economic Impact) от Forrester. В отличие от TCO, которая оперирует только затратами, и ROI, которая оперирует затратами и получаемыми преимуществами (как правило, в виде денег), TEI включает еще два элемента - гибкость и риски.



С помощью TEI компании могут оценивать бизнес-вклад проекта или решения по ИТ (ИБ) в количественной форме:
  • преимущества вычисляются как позитивный (хотя он может быть и негативным) результат (рост прибыли или эффективности) за заданный период анализа.
  • затраты вычисляются также за заданный период анализа (а не только капитальные затраты) и включают этап не только внедрения, но поддержки, а также планирования.
  •  гибкость определяет непрямые или долгосрочные выгоды, получаемые от внедрения проекта или принятия решения (например, тренинг специалистов позволяет в случае изменения бизнес-потребностей быстро к ним адаптироваться).
  • риски (неопределенность) компенсируют первоначальные оценки получаемых преимуществ, что позволяет более точно оценивать итоговые результаты.

Каждый из этих 4-х показателей разбивается на составные и вполне измеримые части, суммирование которых и дает итоговую цифру. Например, Forrester выделяет 5 категорий, получаемых от ИТ (ИБ) преимуществ:
  • доходы
  • продуктивность пользователей
  • эффективность капитала
  • защита активов
  • соответствие.

К чему я это все веду? Просто данная методика может быть применена при вычислении бизнес-отдачи от информационной безопасности. Использовать TEI можно двояко. Первый - самостоятельно вычислять все нужные показатели и суммировать их. Задача более чем непростая. Второй вариант - заказать соответствующие рассчеты у Forrester. Третий вариант является частным случаем второго - ждать, когда Forrester сам опубликует такие исследования. На сегодняшний день Forrester оценивал вклад в бизнес таких технологий как Wi-Fi, PBX и т.д.

К безопасности они пока не подобрались, но... по заказу Cisco компания Forrester недавно провела исследование и разработала калькулятор расчета бизнес-вклада от технологий, входящих в архитектуру Borderless Network (Сети без границ). К этим технологиям относятся маршрутизация и коммутация, мобильность (удаленный доступ и Wi-Fi), оптимизация WAN-каналов и безопасность.Результаты этого исследования публичны и доступны у нас на сайте.

Что интересного в этом исследовании? Во-первых,оно лишний раз подтверждает, что чтобы оценивать бизнес-вклад необходимо заложить в модель определенные бизнес-показатели. В частности, зарплату ИТ/ИБ-персонала, персонала поддержки и бизнес-пользователей. Также необходимо знать сумму капитальных и операционных затрат на ИТ/ИБ (с разбиением на софт, железо и сервисы) за заданный период времени. После всех расчетов (Forrester разработал для нас еще и специальный Excel-калькулятор для самостоятельного использования) на выходе мы получаем и диаграммы затрат на ИТ/ИБ, и денежный поток в течение заданного периода времени, и получаемые преимущества и т.д.

Второй вывод, который я сделал, анализируя результаты по разным заданным показателям, безопасность может приносить денежную выгоду и сама по себе. Но происходит это нечасто. Как правило, основная выгода от ИБ заключается в экономии, защите активов и соответствии. И третий вывод - чтобы "продать" безопасность наверх, ее лучше продавать вместе с чем-то; с защищенным удаленным доступом, с модернизацией сетевой инфраструктуры, с построением Интернет-представительства и т.д. Выгоды от информационной безопасности самой по себе не так привлекательны (особенно в краткосрочной перспективе), как от комплексных ИТ-проектов, в которых ИБ - одна из составных частей.

Покажу конкретный пример выдаваемых результатов. На первой иллюстрации мы видим получаемые преимущества для компании с 5000 сотрудниками и 50 офисами. Ежегодные преимущества составляют около 3 миллионов долларов, которые получаются, в основном, за счет удаленного защищенного доступа. Он снижает сложность инфраструктуры на 60% и повышает продуктивность сотрудников на 2% (в рассматриваемом примере). На ИБ у нас ложится "всего"15% совокупных преимуществ. Но и это немало.


На второй иллюстрации мы видим финансовый анализ, который доказывает, что ждать отдачи от ИТ/ИБ в первый год нелогично.


И, наконец, на третьей иллюстрации показываются финансовые показатели, понятные любому финансисту, который будет принимать решение о выделении инвестиций на ИТ/ИБ-проект.



В целом ничего нового - данные тезисы известны многим. Просто методика TEI лишний раз доказала их правоту "с цифрами в руках". Не голословные утверждения, а понятная методика и понятные результаты, которые не стыдно и финансовому директору показать.

15.4.11

Весеннее обострение на российском рынке ИБ?

Приходит мне вчера сообщение, что домен aladdin.com больше не существует и все запросы будут переадресовываться на safenet-inc.com. Мотивация простая - в 2009-м году SafeNet купила Aladdin и приводит все к единому знаменателю. В принципе, логично, хотя зачем убивать известный бренд?.. Но вспомнилось мне сразу, что около месяца или более назад мне пришло аналогичное сообщение и по поводу домена aladdin.ru. Его теперь тоже не существует. Всем известная компания Аладдин Р.Д. теперь располагается по новому домену.

В общем-то тоже ничего странного, если бы не одно но... на сайте SafeNet компания Аладдин Р.Д. вообще больше не упоминается. Ни среди дистрибьюторов, ни среди реселлеров, ни среди технологических партнеров или системных интеграторов. Раньше Аладдин Р.Д. имел статус дистрибьютора Aladdin Knowledge Systems и после слияния AKS и SafeNet этот статус был сохранен за российской компанией. Но сейчас статус дистрибьютора токенов перешел к "Сертифицированным информационным системам". Вопросы, вопросы, вопросы...

Но это не единственная странность на отечественном рынке ИБ. Непонятные пертурбации происходят еще с одним крупнейшим российским производителем средств защиты. Но пока они носят сугубо внутренний характер и не выносятся на публику.

А вообще год 2011-й станет знаковым в нашей отрасли. Происходит некий перелом и мы выходим на иной уровень. Новое поколение безопасников сменяет предыдущее. Зубры, стоявшие у истоков отрасли, уходят. Кто-то продает свой бизнес, кто-то просто уходит из него в новые сегменты, кто-то уходит на повышение, у кого-то наступает пенсионный возраст и ему не продляют контракт на госслужбе. Вслед за зубрами постепенно меняются и компании, играющие первую скрипку. Лидеры меняются, отрасль омолаживается... Это позитивно. Правда, меня на выступлении в Нижнем Новгороде назвали "крутым дядькой", а на различных конференциях со мной фотографируются, как с памятником Паниковскому на Крещатике в Киеве... Неужели я старею ;-( Вот ведь, блин ;-)  Что-то ностальгия напала...

14.4.11

Спецодежда безопасника

Группа быстрого реагирования ;-)



- Posted using my iPhone

13.4.11

Запись с ТВ

Запись с сегодняшнего эфира - http://rbctv.rbc.ru/archive/sphere/562949980060773.shtml

Я на ТВ

Через 20 минут выступаю в прямом эфире РБК-ТВ. Будем дисскутировать об Интернет-угрозах ;-)

- Posted using my iPhone

Что должен знать ИТ-директор об ИБ... в России

Вчера выступал на нижегородском CIO-клуб. Выкладываю презентацию.

12.4.11

А вы сами пробовали облачную безопасность?

Вспоминая семинар RISSPA про облачную безопасность провел среди коллег мини-опрос на тему, а пробовали ли вы сами услуги облачной безопасности. Оказалось, что таких почти нет ;-(  Поэтому предлагаю всем желающим потестировать сервис облачной безопасности Web-доступа - ScanSafe. Достаточно заполнить форму на сайте ScanSafe и получить полноценный доступ на 30 дней.

ЗЫ. ...и потом можно будет спорить о вкусе устриц ;-)

11.4.11

О запрете Skype

Про "выступление" ФСБ о запрете Skype не высказался только ленивый. Повторяться не буду. Я бы хотел обратить ваше внимание на хронологию событий. 4 апреля на сайте Минкомсвязи появляется сообщение о проведении заседания Правительственной комиссии по федеральной связи и технологическим вопросам информатизации, на которой начальник 8-го центра ФСБ г-н Андреечкин должен был выступить с докладом на тему: "Об использовании в сети связи общего пользования и информационных системах в Российской Федерации криптографических средств шифрования".

8-го апреля заседание состоялось. На нем Андреечкин заявил, что шифрование трафика с применением зарубежных алгоритмов в Skype, Gmail и т.п. может привести к масштабной угрозе безопасности России и предложил запретить их. А вот дальше самое интересное.Почти мгновенно (в терминах государственной бюрократии) отреагировал Кремль - "Высказанное начальником центра защиты информации и спецсвязи мнение о том, что сервисы Skype и Gmail составляют угрозу нацбезопасности, является его личным мнением и не отражает политику государства в области развития Интернета. Андреечкин превысил свои полномочия и сделал поспешные выводы об этих популярных сервисах". Что это за источник не совсем понятно, но раньше я что-то не припомню, чтобы кто-то из кремлевских чиновников (депутаты не в счет) публично критиковал фсбшного генерала... исключая Президента Медведева. Кстати, днем ранее он высказался и по поводу DDoS-атак на LiveJournal, а неназванный источник в Кремле также рекомендовал ФСБ обратить внимание на участившиеся случаи хакерских атак на такие интернет-площадки, как LiveJournal.

А потом высказался г-н Путин; точнее его пресс-секретарь - Дмитрий Песков. Он заявил, что решение о будущем Skype и Gmail в России должно быть принято только на основе учета всех точек зрения, высказываемых как заинтересованными ведомствами, так и обществом в целом. "Существует точка зрения, которая была заявлена Федеральной службой безопасности. Она вполне обоснована, поскольку обусловлена задачами службы, и позиция ведомства вполне аргументирована. Вместе с тем существуют и другие точки зрения, и в процессе работы соответствующего органа правительственной комиссии все эти точки зрения - и ведомств, и общественности - будут тщательно изучены, и уже потом будет выработана позиция и принято соответствующее решение". В интервью Gazeta.ru г-н Песков сказал, что "представители ФСБ не высказывают личного мнения. Естественно, это позиция ведомства, и она тщательно аргументирована".

Позднее позицию Кремля поддержало другой орган исполнительной власти - Минкомсвязи. Его министр Игорь Щеголев заявил, что "никаких планов по отмене или закрытию Skype, Gmail, Hotmail и каких бы то ни было других иностранных сервисов, работающих в России, нет. Что касается предложений по урегулированию использования криптографических средств в сетях общего пользования, то они должны быть подготовлены до 1 октября и это не означает, что они будут касаться прекращения работы иностранных сервисов в России". Государственная дума также на стороне Кремля.

Закончилась дискуссия комментариями от ФСБ - "никаких предложений или требований со стороны ФСБ об ограничении для граждан пользования этими сервисами на рабочем заседании правительственной комиссии по федеральной связи и технологическим вопросам информатизации не было". Видимо, всем послышалось на заседании в Минкомсвязи ;-)

Итак, какие выводы можно сделать? Во-первых, это может быть очередная проверка со стороны ФСБ реакции на такую инициативу. Во-вторых, я могу согласиться с позицией Антона Носика, который предположил, что либо речь идет о позиционной борьбе ФСБ и Минкомсвязи, либо это очередной PR Минкомсвязи. В PR со стороны ФСБ я не очень верю, т.к. это как махать красной тряпкой перед быком. Я имею ввиду любителя Интернет - Президента Медведева, который, к слову сказать, снял в конце прошлого года начальника г-на Андреечкина (руководителя НТС - Николая Климашина) и назначил его на почетную должность помощника секретаря СовБеза.

В общем и целом СМИ и Интернет в пятницу побурлили и поутихли, но внутренние флуктуации и пертурбации в наших правоохранительных органах усиливаются. В том же 8-м Центре грядут очередные перемены... Сложив имеющиеся факты и слухи, могу предположить, что Президент недоволен деятельностью ФСБ (и не только трехбуквенной конторой) в области информационной безопасности. Но вот что из этого в итоге получится пока предсказывать рано...

8.4.11

И вновь об оценке соответствия

И вновь вернусь к теме оценки соответствия. Уж очень часто эту оценку приравнивают к сертификации. На самом деле это не так. Фраза "оценка соответствия в установленном порядке" замечательно иллюстрируется данной картинкой, которую я сделал на основе анализа закона о техническом регулировании, т.к. именно он определяет, что такое оценка соответствия.


7.4.11

Президент узаконил электронную подпись

Президент подписал вчера ФЗ "Об электронной подписи". Также, в связи с этим, внесены изменения в часть первую Гражданского кодекса Российской Федерации, Арбитражный процессуальный кодекс Российской Федерации, Федеральный закон «О кредитных историях», Федеральный закон «Об информации, информационных технологиях и о защите информации», Федеральный закон «Об организации предоставления государственных и муниципальных услуг» и Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об организации предоставления государственных и муниципальных услуг».

Деятельность ФСТЭК в 2010-м году

Опубликовала 14 марта ФСТЭК отчет о своей надзорной деятельности в 2010-м году. 18 страниц чтива. Если убрать всю воду и не "наши" темы, то кратко деятельность ФСТЭК заключалась в следующем:
  • Разработаны административные регламенты по направлениям деятельности. Их 7. По нашей теме регламент есть только по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации (разработка не в счет). По теме персданных регламент нет и не будет.
  • Данные о штатной численности работников ФСТЭК России, выполняющих функции по контролю, и об укомплектованности штатной численности являются информацией ограниченного доступа.
  • Было всего 230 плановых проверок (по всем направлениям деятельности). Среднее время одной проверки - 8 дней. Интересно, что несколько проверок было отменено по причине отсутствия денег на командировочные расходы. Внеплановых проверок не было.
  • Из 230 проверок по 102 выявлено 413 нарушений обязательных требований. Возбуждено 7 дел об административных правонарушениях. Выдано 33 предписания об устранении нарушений.
  • На 2011 год запланировано снижение числа проверок, что связано с уменьшением финансирования ФСТЭК.

6.4.11

7 ошибок CSO

Журнал CSO опубликовал в конце марта статью о классических ошибках, которые делают руководители служб ИБ, пытаясь в своей компании донести (скоммуницировать) важность вопросов обеспечения ИБ до всех заинтересованных сторон:
  • отсутствие стратегии ИБ - большинство руководителей ИБ действуют в реактивном режиме, борясь с реализуемыми угрозами, а не предвосхищая их;
  • пренебрежение донесением важности ИБ до каждого;
  • неспособность или нежелание учитывать культурные различия (моя статья про токены хорошо иллюстрирует эту проблему);
  • неспособность обосновать ИБ в цифрах и в экономических показателях;
  • непонимание важности фактора времени;
  • непонимание постоянной смены роли руководителя ИБ - от лидера до советника, от автора плохих новостей до инициатора позитивных изменений;
  • непонимание того факта, что коммуникации нужны не всегда и иногда они являются просто пустой тратой времени (иногда проще уйти, чем доказывать, что ты не верблюд).

5.4.11

EMC покупает NetWitness

Вчера компания EMC сообщила, что покупает американскую частную компанию NetWitness, занимающуюся вопросами анализа сетевого трафика с точки зрения ИБ. Детали сделки не раскрываются. NetWitness войдет в состав RSA.

Надо заметить, что несмотря на заявленную революционность технологий NetWitness, ничего действительно нового они не предлагают. Анализ сетевого трафика с точки зрения ИБ реализован достаточно давно и многими компаниями - от таких грандов как Cisco (модули Cisco NAM или встроенная в любой маршрутизатор функциональность NBAR или FPM) и заканчивая нишевыми игроками - Lancope, Mazu, PacketMotion и т.д.

Вопрос в другом - эти технологии находятся на стыке ИБ и ИТ, что и обуславливает их малую распространенность в России. Безопасники не всегда понимают сетевых технологий на том уровне, на котором работают средства сетевого анализа, а у ИТшников не всегда доходят руки до решения вопросов ИБ на таком уровне. Но в целом, решения сетевого анализа являются хорошим подспорьем по обнаружение различных аномалий и подозрительных действий в корпоративной сети.

4.4.11

Positive Hack Days

Positive Hack Days - международный форум, посвященный практическим вопросам информационной безопасности, пройдет 19 мая в Москве. Его миссия — объединить хакеров и компании ИБ-индустрии, чтобы они смогли понять, насколько они нужны друг другу. На Форум приглашены: самые продвинутые знатоки из России, Европы, США и Китая, представители ведущих российских и зарубежных ИТ-компаний, независимые эксперты. Организатор - Positive Technologies.

Сайт - http://phdays.ru
Twitter - http://twitter.com/phdays
LinkedIn - http://www.linkedin.com/groups?home=&gid=3850821

1.4.11

Как я писал закон по сходной цене

Расскажу интересную историю. Раздается в середине января звонок. Приятный, но холеный женский голос спрашивает, могу ли я подозвать Алексея Лукацкого. Я "подозвал" сам себя и между мной и собеседницей на том конце провода состоялся интересный разговор.
- Меня зовут Алевтина Петровна. Мой муж - депутат имярек.
- Очень приятно.
- Я слышала, что вы занимаетесь разработкой законов. Это так?
- Не совсем. Я участвую в разработке нормативной базы и иногда принимаю участие в экспертизе законопроектов.
- Это то, что мне надо. Вы можете написать мне закон?
- Закон? Какой закон? О чем?
- Мне все равно.
- ?!
- Дело в том, что у моего мужа скоро день рождения и я бы хотела сделать ему подарок. Машины у него уже есть. Дорогие часы тоже. У него есть все! И я подумала, что могу сделать ему неожиданный подарок - закон, который он сможет подать в Думу.
- Внести...
- Ну все равно. Подать, внести. Какая разница?!... Вы можете написать закон? Я вам хорошо заплачу!
- Вопрос, конечно интересный. А хоть о чем закон должен быть?
- Да какая разница? Вы думаете мой муж будет в этом разбираться? Вы думаете хоть один депутат в Думе что-нибудь понимает в этом? Просто мой муж уже второй раз сидит в Думе и так ничего и не предложил. Его коллеги по работе, конечно, тоже ничего не предложили, но на них уже там смотрят косо.
- На них?
- Ну да. Он же там не один сидит. С друзьями.
- А-а-а.
- Так сможете?
- Попробовать можно. Но вы даже приблизительно тему не представляете?
- Я же вам объяснила уже - никого это не волнует. Главное сдать закон. Там отметят, что муж закон написал. Доложат Главному. Он будет доволен.
- Главный?
- И муж, и Главный. Все будут довольны. Мужу будет приятно. У его друзей такого не будет. Я смогу сделать мужу эксклюзив. Это вам не Ламборджини. Я на прошлый день рождения подарила мужу, а потом у всех его друзей такая же появилась. А тут закон. Никто его не переплюнет.
- Да, верно.
- Значит беретесь?
- Да, давайте попробуем. Какой у вас крайний срок?
- Так, значит, день рождения у него в конце марта. Значит закон мне нужен после 8-го марта.
- Хорошо.
- Сколько это будет стоить?
- Ну все зависит от объема и содержания. Если нужен законопроект о внесении изменений в действующее законодательство, то это одна цена. Если нужен абсолютно новый законопроект, то цена будет выше.
- Ну я же вам объяснила уже! Мне нужен закон! Страниц на 15-20; я фигню не хочу мужу дарить. Пусть все будет солидно. И чтобы с гербом; ну там все дела, вы меня понимаете...
- Понимаю.
- И?..
- Хорошо. Давайте остановимся на цифре 50 тысяч.
- Всего?!
- Долларов!
- Ну да. А чего еще-то? 50 тысяч долларов?! За закон?! Я думала это будет дороже. Может два заказать?...
- Давайте сначала я вам один сделаю, а потом вернемся к разговору о дальнейшем сотрудничестве. Хорошо?
- Ну давайте.
- Итак, подытожим. 10 марта я вам сдаю законопроект на любую тему размером 15-20 страниц.
- Ага. И чтоб тема какая-нибудь поинтересней.
- Хорошо.

На этом разговор и завершился. Немного ошарашенный я все же решил не удивляться. Бывая в Госдуме я насмотрелся там многого. Законопроект я решил писать по знакомой мне теме - информационная безопасность и посвятил закон вопросам регулирования этой темы. Вместо краткого упоминания в трехглавом ФЗ-149 я решил выстроить все немного иначе. Сначала дал четкую иерархию информации ограниченного доступа и описал различные виды тайн (первичные и вторичные). Тем самым я вывел определение и иерархию защищаемой информации на уровень закона и устранил противоречия в устаревшем Указе 188. Затем я ввел понятия собственника и владельца информации. А потом уже четко зафиксировал, кто определяет требования по защите информации для различных видов тайн, нужна ли оценка соответствия и в каких случаях, определил условия получения лицензии на деятельность в области шифрования и ТЗКИ, а также четко разделил полномочия между различными отечественными регуляторами. Получилось неплохо - мне даже понравилось.

10 марта я сдал работу заказчице; получил деньги. А вчера узнал, что мой, точнее уже не мой, законопроект был отдан в канцелярию Госдумы и зарегистрирован по всей форме. В понедельник или вторник его должны будут вывесить на сайте Госдумы.

Пусть не совсем красивым путем, но может и удастся добиться цели приведения рынка ИБ в пристойное состояние. В конце концов, цель оправдывает средства. А ничего незаконного я не совершал (хотя определенные сомнения все-таки гложут). Если депутат не только "подаст" законопроект, но и проведет его по всем 3-м чтениям (а это сразу поднимет его в глазах своих соседей по Думе), то это будет победа! Буду держать вас в курсе...