Новости ФСТЭК, ФСБ и РКН

По результатам вчерашней конференции в Челябинске, организованной Аста-Информ, была получена очень интересная информация. Не всегда новая, но это тоже важно - подтвердить худшие опасения или направления деятельности регуляторов. Кстати, что касается регуляторов, то это, на моей памяти, единственное мероприятие, где присутсвовали в полном составе представители ФСТЭК, ФСБ, РКН и прокуратуры (а также УСТМ МВД). Итак новости следующие:

1. ФСТЭК подтвердил свою позицию, что лицензия должна быть у каждого оператора ПДн. Обосновать не смогли, но позицию высказали.
2. Под оценкой соответствия ФСТЭК понимает только сертификацию и ничего другого. Доказать не смогли, но с дороги не сворачивают.
3. На одной из секций ФСТЭК заявил, что аттестация тоже обязательна. На второй секции у него уточнили этот вопрос и ФСТЭК заявил, что на СЕГОДНЯШНИЙ день аттестация не нужна. Но я уже писал про планы ФСТЭК к концу года подвести под это законную базу. Так что ждем-с...
4. РКН по прежнему считает, что публикация списков должников ЖКХ, а также работа коллекторов незаконна. Даже несмотря на пункт в ФЗ об отсутствии необходимости получения согласия защиты законных интересов оператора ПДн. РКН вообще читает эту норму не так, как написано в ФЗ. Они ее читают как "законные основания", а не "законные интересы", и считают, что либо в законе должно быть прописано, либо не имеете права. Кстати, про коллекторов и обработку ими персданных я буду писать в понедельник - там есть много новостей интересных.
5. РКН активно привлекает ФСБ, ФСТЭК, УСТМ МВД при проверках. Т.е. оснований у самих технических регуляторов для проверок коммерческих компаний нет, но это можно сделать, если выступать в качестве эксперта у РКН на побегушках. При этом предписание об устранении выдает не ФСТЭК/ФСБ, а РКН и придраться к незаконности проверок этих "технических" регуляторов почти невозможно ;-(
6. Очень понравился мне подход Челябинского управления ФСБ. Ну очень... Они действуют так, как должен регулятор. Ничего лишнего не требуют. Например, т.к. в законе написано про оценку соответствия СКЗИ, а не про сертификацию, то они в Челябинске не требуют сертификатов на СКЗИ у коммерческих организаций - смотрят на соответствие модели нарушителя. Они не горят желанием привлекаться со стороны РКН как эксперты по части технической проверки по линии ПДн. Челябинская ФСБ не считает невыполнение 152-й инструкции основанием для отказа в выдаче лицензии. Ну и т.д. Очень здравый взгляд. При этом госов они контролируют активно - уже и наказаний по 13.12 КоАП за отсутствие сертифицированных СКЗИ выписали больше чем другие управления в УрФО.
7. На вопрос РКН, надо ли переделывать уже разработанные в организации документы по старому ФЗ, они ответили, что нет, не надо. Мол, дождемся новой нормативной базы - тогда и будем смотреть.
8. На вопрос РКН, надо ли классифицировать ИСПДн, они ответили, что если уже классифицировано, то и пусть будет. Но если только в процессе, то лучше приостановить этот процесс, т.к. по новой нормативке классификации ИСПДн нет.
9. На вопрос РКН, должны ли быть ответственные в филиалах организации, они ответили, что да. Иначе они не смогут проводить проверки без ответственного (это из ФЗ-294 вытекает).
10. На вопрой РКН, как обрабатывать ПДн ближайших родственников, они ответили, что только по явному согласию.
11. На вопрос РКН, как быть, если надо уничтожать ПДн сразу тысяч субъектов, они ответили, что все равно в акт уничтожения надо включать все ФИО.
12. В согласии на передачу ПДн третьим лицам, а также обработчикам, РКН требует указания конкретных наименований и адресов этих лиц. Только в крайних случаях они готовы воспринимать типы третьих лиц (страховые компании, курьеры и т.д.).

Вот в таком аспекте, как говорилось в "Понедельник начинается в субботу" Стругацких...

Выступление в Челябинске

Сегодня у меня два выступления в Челябинске на конференции по персданным (Женя Царев тоже тут выступает). Первое выступление касается новостей законодательства о персональных данных, второе - про экономику ИБ. Вторая тема уже не раз освещалась мной в разных презентациях. Поэтому я ее не выкладываю. А вот первую я делал почти заново - так что ее и выложу.

News in FZ-152

View more presentations from Alexey Lukatsky.

И вновь о психологии персданных

Чем больше погружаешься в тему психологии персональных данных (или privacy в англоязычной терминологии), тем больше понимаешь, что наши регуляторы вообще не думают о том, ради ЧЕГО и ради КОГО изначально затевался ФЗ-152. Вместо того, чтобы запускать программу повышения осведомленности,они выбивают из операторов персданных деньги на то, что никому не нужно. Ведь те требования, которые прописаны в законе и будут прописаны в подзаконных актах не имеют никакого отношения к реальной защите прав субъектов ПДн. Выскажу даже крамольную мысль- субъектам ПДн в массе своей наплевать на свои ПДн и защиту их прав.

Про отношение молодежи к ПДн я уже писал. Посмотрим теперь чуть шире. В работе, посвященной принятию решений относительно собственных ПДн, приводятся результаты интересного исследования согласно которому словесные высказывания субъектов ПДн сильно отличаются от их реального поведения в отношении своих же ПДн.

Во-первых,люди готовы торговать конфиденциальностью своих данных в обмен на удобство (например, при доступе к каким-то сайтам или ресурсам) или какие-то незначительные награды (например, в системах повышения лояльности, в картах накопительных скидок и т.д.). Причем выгоды субъект хочет получить сейчас и сразу, а о будущих последствиях думать он будет потом (если вообще будет). Достаточно вспомнить, как часто, мы заполняем различные анкеты на получение скидок, участие в различных накопительных программах (полетные мили, ночи в гостиницах и т.д.).

Во-вторых, люди, не имея полной информации для принятия решения относительно своих ПДн, могут принять решение неверное, последствия которого сложно устранить. И даже имея всю необходимую информацию, рациональное поведение субъектов ПДн - скорее из области фантастики. Психологи не раз уже доказывали этот, казалось бы, нелогичный, но при этом реальный феномен. И они продолжают доказывать, что даже имея неоднократный негативный опыт с обработкой своих ПДн, последующие действия также не всегда подчиняютмя логике (я про это, кстати, тоже говорил в посте про психологию восприятия риска и в курсе по моделированию угроз). Нередко люди руководствуются социальными нормами поведения. Например, будучи честным альтруистом, человек может считать остальных таковыми же и предоставлять свои ПДн всем, кто их у него запрашивает.

Согласно проведенному исследованию на общий вопрос: "Считаете ли вы защиту ваших ПДн важной задачей?" около 90% отвечают положительно. Правда, если погружаться в детали, то людям с небольшими доходами (менее 450000 рублей в год) на защиту своих персональных данных практически наплевать, в отличие от более обеспеченных граждан. Учитывая, что в России средний доход меньше названной цифры, то можно предположить, что большинству наших сограждан тема ПДн неактуальна. Интересно тут другое. На уточняющие и более глубокие вопросы люди отвечают уже незаученным фразами. Например, на вопрос о сексуальных предпочтениях (включая ориентацию) только 12% респондентов ответили, что их сильно волнует защита этих личных данных. Еще 26% респондентов эта тема волнует, но на среднем уровне, а 62% не сильно заботит утечка этой информации. Также граждан больше волнует проблема нарушения их прав при оффлайн-обработке ПДн, а не онлайн - 40% против 25%. И вообще, почему-то людей больше волнует конфиденциальность их идентификаторов (имя или адрес e-mail), чем остальной информации - профессиональные навыки, политические воззрения, возраст и т.д.

Еще одна подмеченная проблема в том, что даже те субъекты ПДн, которых беспокоит неприкосновенность частной жизни, не сильно заботятся о том, чтобы что-то предпринять для ее защиты. Мало кто (чутьбольше 37%) использует шифрование электронной почты. Не все (56%) используют средства контентной фильтрации. Мало кто исключает себя из общедоступных телефонных справочников. 50% людей не используют шредеры. Хотя есть и исключения, которые предпринимают различные усилия для защиты своих ПДн - указывают поддельную информацию в формах на сайтах, прерывают оформление покупок перед вводом ПДн и т.д.). Но все-таки большинство действуют в части защиты своих ПДн нецеленаправленно и, даже, хаотично.

В качестве выводов авторы исследования отмечают, что основная проблема, с которой сталкиваются субъекты ПДн - это нехватка или неполнота информации о том, как обрабатываются их ПДн и какие действия они должны предпринять для защиты своих ПДн. При этом граждане считают, что решение этих задач лежит преимущественно в плоскости государственного регулирования (около 54%). Еще 30% считают, что нужно внедрять культуру работы с ПДн и изменять поведенческие нормы их обработки. И только 15% считают, что эта проблема может быть решена с помощью технологий, причем самостоятельно выбранных, а не навязанных сверху.

Вот такое исследование. Правда, учитывая все последние новости, до учета этих моментов у наших регуляторов руки точно не дойдут.

О роли России в подготовке конвенции ООН в области ИБ

Про Кодекс поведения в области ИБ, предложенный Россией и Китаем для ООН, я уже писал. Но тогда не особо комментировал, думая, что каждый сам сделает для себя выводы. Но тема как-то стала разрастаться. То в Twitter'е у меня спросили мнение про статью в Коммерсанте. То коллега озаботился этой проблемой. В итоге выскажусь ;-)

Итак, что говорит этот Кодекс? Все просто. Идей ровно три. Ведению кибервойн скажем НЕТ! Использованию Интернет для свержения режимов скажем НЕТ! Вмешательству в действия в локальном сегменте Интернет скажем НЕТ!

Про запрет кибервойн - это анахронизм. Даже если это и пройдет, то США уже внесло другое предложение - отвечать на кибератаки бомбардировками. Предложение на предложение. С невмешательством в локальные Интернет-дела тоже все понятно. Желание российских властей, включая церковные, исключить анонимность из Интернет, а также контролировать там все и вся известны давно. Про это я уже писал неоднократно (то Нургалиев заявит про регистрацию DSL-модемов, то Правительство закажет анализ международного законодательства в области контроля Интернет). В целом для этого и резолюция ООН не сильно нужна, но если она будет, то всегда можно сослаться на международную практику.

А вот последний тезис очень интересен. Не исключаю, что ради него все и делается. Достаточно вспомнить, что волнения в Египте, Тунисе, Сирии, Ливии, Йемене подпитывались и координировались через Интернет. Желание государств с властью, чувствующей свою неустойчивость, запретить использование Интернет для свержения правительств вполне понятно. А если посмотреть на перечень стран, ставших иницииаторами внесения в ООН Кодекса (Россия, Китай, Узбекистан, Таджикистан), то понятно становится вдвойне. Не удивлюсь, если скоро Кодекс поддержат Казахстан, Грузия и другие страны с неустойчивой властью.

Хотя надо заметить, что пытаться блокировать Интернет, вещь не самая простая. А главное, не факт, что фильтрация социальных сетей и блогов решит проблему. Достаточно вспомнить мою заметку про теневой Интернет, который сейчас активно поддерживает США для помощи "демократическим" режимам разных стран. Тут контроль Facebook или ВКонтакте проблему не решит. Правда, по моей информации, наши спецслужбы этой проблемой тоже озаботились.

Что в итоге? Боязнь России все более возрастающей ролью Интернет и нарастающим недовольством наиболее активными слоями населения. Попытка ситуацию взять под контроль всеми доступными методами. И полное непонимание, что резолюция ООН - это не тот документ, который это все может позволить решить. Достаточно вспомнить конфликт в Ливии, когда военные, поддерживающие повстанцев, наплевали на резолюцию ООН. Достаточно вспомнить ситуацию в Сербии, Афганистане, Иране... Когда интересы бизнеса превалируют над всеми остальными, то всем плевать на мнение ООН ;-(

Новые документы ФСТЭК

За прошедшие 10 дней ФСТЭК выложил у себя на сайте 3 новых проекта документа

• О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации,утвержденный приказом ФСТЭК России от 28 августа 2007 г. № 181
• О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по разработке и (или) производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 28 августа 2007 г. № 182
• Методические рекомендации по формированию аналитического прогноза по укомплектованию подразделений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами на заданный период.
  

Первые два документа касаются всего лишь поправок, связанных с переходом на межведомственное электронное взаимодействие и оказание госуслуг. А вот третий документ достаточно интересен тем, что подводит научную базу под количественную оценку числа специалистов, необходимых для обеспечения информационной безопасности на критически важных объектах, а также для ПДИТР.

Belden покупает Byres Security

В начале сентября малоизвестная широкому кругу лиц компания Belden купила также малоизвестную компанию Byres Security, которая при этом является лидером рынка безопасности решений АСУ ТП (SCADA). Детали сделки не разглашаются.

Инфосек, инфобез - что с ними, что без или дилемма заключенного - 2

Сегодня, как оказалось, всемирный день отказа от автомобиля. И как предсказывалось пробок сегодня меньше не стало, а местами и больше. В прошлом году вообще в этот день было 10 баллов по 10-тибалльной шкале. А ведь дилемма заключенного это явление отлично объясняет. Если бы большинство автовладельцев действительно отказалось от поездок сегодня, то на дорогах было бы пусто, но... Как думает автовладелец в такой день? "Если все не поедут, то будет свободно. Поэтому я все-таки поеду; хоть один день без пробок". И так думает каждый. В итоге выбираются на дорогу даже те, кто в обычные дни ездят на метро ;-)

Собственно, день без авто только натолкнул меня на эту идею, а на самом деле я хотел бы применить эту диллему к ИБ. Возьмем двух авторов курсов по персданным. По идее рассказывают они об одном и том же. Читают в разных УЦ, которые между собой не пересекаются (т.е. аудиторию друг у друга они не отбирают). Было бы логичным поменяться своими наработками, чтобы сделать свои курсы лучше, но... Дилемма заключенного срабатывает и тут. Один автор думает, что его курс лучше, чем у другого и потому не отдает свои наработки. Второй автор думает, что первый хочет отобрать у него аудиторию и тоже не делится своими ноу-хау. В итоге страдает аудитория ;-(

Ну и последний пример. Грядут две выставки - InfoSecurity и Инфобезопасность. Разница между ними - меньше недели. Спрашивается зачем? Отличаются ли обе выставками экспонентами? Да почти нет. Имена может и разные, но продукты одинаковые. Темы конференций тоже похожи как близнецы. Спикеры тоже перетекают из одного мероприятия в другое (если готовы тратить время на обе выставки). А куда идти посетителям? На первую или вторую конференцию? На обе мало кого отпускают; особенно в регионах. Нет, чтобы организаторам выставок договориться между собой - всем была бы польза. Так нет же - они разругались вдрызг; да еще и пакости мелкие друг другу строят в виде переноса даты своих мероприятий перед другим. В итоге оба в проигрыше.

Вам лицензию? Да мне по ИБ!

На прошлой неделе, во время проведения курса по персданным, со слушателями возникла интересная дискуссия по вопросам лицензирования и была высказана следующая крамольная мысль. Пункт 4 статьи 8 нового закона "О лицензировании отдельных видов деятельности" гласит: "К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта".

Защита персональных данных это обязанность? Да; прописана в ст.19 ФЗ-152. Защита банковской тайны - это обязанность? Да; прописана в ст.26 ФЗ "О банках и банковской деятельности". Защита врачебной тайны? Коммерческой тайны? Адвокатской тайны? Тайны страхования? Защита других нескольких десятков тайн? Если это обязанность хозяйствующего субъекта, то требование получения лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации, а также лицензии ФСБ на деятельность в области шифрования, являются законным только в одном случае - когда эта деятельность является основной и из нее извлекается прибыль.

Вот такие рассуждения.

Новое руководство NIST по оценке рисков

NIST опубликовал проект впервые пересмотренного рукодства по проведению оценки рисков - SP 800-30 "Guide for Conducting Risk Assessments". Это пятый документ NIST в серии по управлению рисками. Если хотите высказать свои замечания по этому проекту, то до 4-го ноября это может сделать любой желающий.

Психология персональных данных современных детей и молодежи

Начал читать книжку "Дети цифровой эры". Посвящена она тому, как вести себя с детьми, для которых iPod, Sony PSP или Интернет гораздо ближе и понятнее, чем плейер Walkman, игра в "яйца" на Электронике или походы в лес для общения с друзьями. Но интересна она не только для родителей, но и с точки зрения ИБ, т.к. показывает мир современных подростков, которые станут править балом через несколько лет. Именно их поведение бужет определять ситуацию с ИБ на предприятиях, в школах и ВУЗах, в обществе.

Согласно проведенным исследованиям, современная молодежь не видит ничего зазорного в предоставлении своих персональных данных на всеобщее обозрение в социальных сетях, на собственных сайтах,блогах, в виртуальных мирах и т.д. Более того, закрытие такой информации делает молодежь изгоями в своей среде. Как доказывают авторы книги предоставление такой информации о себе формирует цифровую идентичность (видимо это не самый удачный перевод термина online или digital identity) подростка или юноши/девушки. Помимо формирования идентичности раскрытие своих персональных данных обеспечивает членство в группе ровесников, которые также свободно раскрывают сведения о себе и делятся подробностями своей частной жизни. Да и люди более взрослого поколения не чужды такой привычке. Достаточно посмотреть, что публикуют о себе пользователи Facebook и как они заводят контакты. Пустой профиль почти не дает шансов быть принятым в группу или получить/принять приглашение "дружбы". Но если для людей поколения 80-90-х раскрытие своей своих ПДн - это скорее неизбежное зло для онлайн-общения, то для поколения 2000-х-2010-х -это в порядке вещей и не вызывает никаких сомнений.

К чему я это пишу? Просто эта книга показывает, что проблема защиты персданных кроется совсем не там, где сконцентрированы усилия наших законодателей и регуляторов. Они сфокусированы на технической защите и выработке обязанностей для операторов персданных; в то время как надо заниматься повышением осведомленности и обучением современной молодежи и детей по вопросам обеспечения свой защиты в онлайн-пространстве. Если пользователи Интернет будут меньше бездумно распространять свои персональные данные направо и налево, то эффект от этого будет гораздо выше, чем от применения сертифицированных средств защиты, аттестованных объектов информатизации и получения всеми лицензий на деятельность в области защиты информации.

Дилемма заключенного и ИБ

На прошлой неделе Брюс Шнайер дал ссылку на интересное исследование "Knowledge Sharing and Investment Decisions in Information Security", которое продолжает тему инвестиций в ИБ. Я уже как-то обращался к этой теме и тогда мы говорили о применении теории игр в вопросах инвестирования в ИБ. В исследовании, на которое ссылается Шнайер, говорится еще обо одной задаче из теории игр, которая основывается на так называемой "дилемме заключенного". Суть ее в следующем. Игроки, как пишет Википедия, не всегда будут сотрудничать друг с другом, даже если это в их интересах. Предполагается, что игрок («заключённый») максимизирует свой собственный выигрыш, не заботясь о выгоде других.

В дилемме заключённого предательство строго доминирует над сотрудничеством, поэтому единственное возможное равновесие — предательство обоих участников. Проще говоря, неважно, что сделает другой игрок, каждый выиграет больше, если предаст. Поскольку в любой ситуации предать выгоднее, чем сотрудничать, все рациональные игроки выберут предательство. Но ведя себя по отдельности рационально, вместе участники приходят к нерациональному решению: если оба предадут, они получат в сумме меньший выигрыш, чем если бы сотрудничали. В этом и заключается дилемма.

Применительно к ИБ авторы исследования показывают, что хотя двум и более фирмам и выгоднее делиться информацией об объемах инвестирования в ИБ, они этого не делают, только наращивая гонку вооружений и никак не увеличивая уровень защищенности своих компаний. Несмотря на то, что у них есть стимул пойти на соглашение и договориться между собой, они этого не делают, стараясь "предать" оппонента. В итоге уровень инвестиций только растет и растет неоправданно.

Немного о политике ИБ

В последние несколько дней многие вспомнили тему политики ИБ. Руслан Пермяков в очередной раз поднял тему выполнимости политики. Ригель тоже прошелся по теме, в очередной раз указав, что без участия руководства в разработке политики, толку от нее не будет.

Иностранные эксперты тоже не упускают случая поговорить о данной проблеме. Например, неделю назад независимый консультант по ИБ Стивен Фокс опубликовал интересную заметку о политике ИБ, в которой последняя сравнивалась с руководством к автомобилю. Мол и вещь полезная, но обращаемся мы к нему только тогда, когда произойдет что-то неожиданное. У большинства политика ИБ представляет собой тоже самое. Многие вообще не знают, где эта политика размещена. А все потому, что этот документ воспринимают часто как нечто технологическое. Но если посмотреть на этот документ с другой стороны?

Крис Ноэль из ANXeBusiness дает такое определение: "Политика ИБ связывает культуру организации, определяет набор ожиданий и границы поведения, а также риск-аппетит, и устанавливает обязанность оказывать помощь в безопасности". Вообще последние 5 слов - это вольный перевод термина "legal duty of care" применительно к теме безопасности. Термин многогранен, но в данном контексте он, видимо, говорит о том, что все участники процесса ИБ должны помогать друг другу в вопросах ИБ, а также устанавливает обязательства службы ИБ в разрешении различных вопросов ИБ для "подведомственных" им структур и пользователей.

В целом, вольно пересказывая заметку Фокса, который в свою очередь пересказывает заметку из Harward Business Review по внедрению стратегии на предприятии, хотелось бы добавить несколько тезисов к постам Ригеля и Руслана.

Во-первых, политика должна отвечать на вопроспользователя: "Почему это так важно для меня?" Не забывайте, что политика нужна не для галочки, а для людей. А люди в компании работают разные. Не только по своим ролям, но и по менталитету, образованию, опыту, полу, культуре и т.д. Разрабатывая политику, учитывайте интересы и потребности сотрудников. В противном случае вся эта эпопея с толстыми фолиантами обречена на неудачу. При этом не стоит загонять себя в рамки и стараться сделать только один документ, который бы вмещал в себя все. Где это написано, что политика - это один документ? Пишите столько документов, сколько надо для дела и для лучшего восприятия ее сотрудниками. Хоть для каждого сотрудника свою ;-)

Во-вторых, политика должны учитывать не всегда формализованные, но не менее важные способы взаимодействия внутри компании и за ее пределами - с клиентами и партнерами. В противном случае ее точно будут обходить или не выполнять. Системы документооборота - это хорошо, но реально работающих и на 100% зафиксированных и подконтрольных информационных потоков я еще не видел. Поэтому лучше немного отойти от правил и учесть это в политике, чем потом кусать локти.

Компания меняется? Меняются способы коммуникаций с заказчиками и партнерами? Появляются новые регулятивные требования? Рынок диктует изменение поведения? Почему тогда не меняется политика? Почему она мертвым грузом висит на балансе службы ИБ и к ней обращаются только в редких случаях? Необходимо регулярно пересматривать политику и обязательно с привлечением бизнес-единиц, а не только сотрудников служб ИБ и ИТ.

Классическое требование о том, что руководство должно своим примером демонстрировать понимание и принятие политики - это далеко не все. Не забывайте, что бывают случаи, когда руководство может и не иметь влияния и авторитета в компании. Ищите другие центры влияния внутри организации - серых кардиналов, известных балагуров и душ компании. Пусть они станут проводниками вашей политики в массы. Иногда достаточно одного слова рядового сотрудника, имеющего вес и авторитет на предприятии.

Наконец, маркетинг ИБ. Я не помню писал я про это или нет, но в презентациях и курсах по слиянию ИБ и бизнеса у меня это точно было. Применяйте маркетинговые приемы для распространения и внедрения нужных вам идей. Один из таких примеров - истории успеха сотрудников, которым политика ИБ помогла. Помогла не потерять данные, защитить компьютер от вирусов, своевременно подключиться к корпоративной сети, предотвратить мошеннические действия... Регулярные рассылки таких историй (а сотрудников, написавших о них, можно поощрять) делают политику ИБ ближе, а не возносят ее на недосягаемый пьедестал.

И вновь об ООН и ИБ

В ноябре 2009 года на 64-й сессии Генеральной Ассамблеи ООН была принята резолюция "Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур". Собственно сама резолюция содержала всего два пункта. В первом она предлагала "государствам-членам использовать, если и когда они сочтут это целесообразным, прилагаемый инструмент добровольной самооценки национальных усилий по защите важнейших информационных инфраструктур, призванный помочь им в анализе их усилий по защите важнейших информационных инфраструктур и укреплению кибербезопасности, с тем чтобы выявить области, в которых требуется принятие дополнительных мер, в целях повышения глобальной культуры кибербезопасности", а во втором ООН предложила государствам-членам поделиться своим опытом и "стратегиями действий в области кибербезопасности и защиты важнейших информационных инфраструктур". Если по второму пункту России предложить миру нечего, то 17 пунктов методики самооценки представляют интерес. Я решил ответить за Россию и посмотреть насколько мы продвинуты в области ИБ (сравнивать, правда, не с кем, но и самооценка для понимания пробелов - это тоже неплохо). Итак, пойдем по пунктам:

1. Роль ИКТ в национальной экономике, безопасности, транспорте, водоснабжении и обеспечении продовольствием, общественном здравоохранении, энергетике, финансах, служба экстренной помощи и гражданском обществе. Я бы оценил эту роль либо как незначительную, либо как среднюю с потенциалом роста.
2. Риски в области ИБ для отраслей, указанных выше.Здесь моя позиция расходится с мнением регуляторов, но это и понятно. Для них иностранные технологии - зло. Для меня - пример прогресса.
3. Слабые места в инфраструктуре. Пропущу этот пункт ;-)
4. Цели национальной стратегии по обеспечению кибербезопасности и защиты важнейших информационных инфраструктур; нынешний уровень; меры по оценке прогресса; как стратегия выписывается в международные инициативы. Цели прописаны в Доктрине ИБ. Нынешний уровень - очень низкий. Оценка прогресса - не производится, т.к. нет метрик. Стратегия в международное сообщество не вписывается.
5. Ключевые заинтересованные стороны, участвующие в обеспечении кибербезопасности и защиты важнейших информационных инфраструктур; роль каждой из них в разработке соответствующих стратегий и операций. Сторон полно. Основная роль отдана ФСБ. Остальные стороны на процесс не влияют. Бизнес и гражданское общество - тем более.
6. Формальные и неформальные механизмы взаимодействия между правительством и промышленностью в разработке стратегий и операций в области кибербезопасности и защиты важнейших информационных инфраструктур. Отсутствуют.
7. Форумы или структуры, которые могут в дальнейшем понадобиться для интеграции позиций правительства и неправительственных участников и их знаний. Консолидированных структур нет, но много разрозненных участников - АП КИТ, РАЭК, АРБ, РСПП, АДЭ и т.д.
8. Принятые меры и планы по развитию сотрудничества между правительством и частным сектором. Отсутствуют.
9. Осуществляемые и запланированные инициативы по отстаиванию общих интересов и решению общих проблем как среди участников важнейших инфраструктур, так и среди представителей частного сектора. Отсутствуют.
10. Государственное ведомство, выполняющее функции координатора деятельности в связи с инцидентами. Отсутствует.
11. Общенациональный механизм реагирования на компьютерные сбои. Отсутствует.
12. Сети и процессы международного сотрудничества, которые могут укрепить потенциал реагирования на инциденты и планирования на случай чрезвычайных ситуаций. Отсутствуют.
13. Список национальных правовых актов (в том числе занимающихся вопросами киберпреступности, охраны личной информации, защиты данных, коммерческого права, цифровых подписей и шифрования), которые могут устареть или утратить актуальность в результате быстрого развития новых информационно-коммуникационных технологий. Почти все не соответствуют действующему уровню развития ИКТ. Необходимое законодательство для расследования киберпреступлений и преследования лиц, виновных в их совершении. Не работает.
14. Нынешнее состояние национальных органов по борьбе с киберпреступностью и соответствующих процедур. Неадекватное.
15. Существующие правовые кодексы и правовые органы соответствуют задаче решения существующих и будущих проблем киберпреступности и киберпространства в целом. Не соответствуют.
16. Уровень национального участия в международной деятельности по борьбе с киберпреступностью. Активное участие представителей МВД и ФСБ в международных конференциях. 
17. Потребности национальных правоохранительных органов в сотрудничестве с международными коллегами при расследовании транснациональных киберпреступлений. Требует отдельного рассмотрения, но пока уровень сотрудничества отстает от потребностей.

Примерно так. Как-то пессимистично ;-( Или это я просто придираюсь?..

Международный Кодекс поведения в области ИБ

12-го числа по китайскому радио передали новость о том, что "постоянные представители Китая, России, Таджикистана и Узбекистана в Организации объединенных наций совместно направили генеральному секретарю ООН Пан Ги Муну письмо с просьбой распространить Международный кодекс по обеспечению безопасности в сфере информации в качестве официального документа ООН на 66-й сессии Генеральной ассамблеи организации".

На сайте ООН этой информации нет. Как не оказалось ее и на сайте первоисточника - информация была просто удалена с сайта по непонятной причине. Но меня заинтересовало, чтоже такого интересного предложили эти 4 страны, две из которых раньше не были замечены на ниве активного участия в вопросах ИБ, а третья не имеет нормального собственного законодательства в области ИБ. Поиски увенчались успехом и текст предложенного Кодекса перед вами (только на английском, но там и так все понятно):

The General Assembly,

Recalling the General Assembly's resolutions on the role of science and technology in the context of international security, in which, inter alia, it recognized that scientific and technological developments could have both civilian and military applications and that progress in science and technology for civilian applications needed to be maintained and encouraged,

Noting that considerable progress has been achieved in developing and applying the latest information technologies and means of telecommunication,

Recognizing the need to prevent the potential use of information and communication technologies (ICTs) for purposes that are inconsistent with the objectives of maintaining international stability and security, and may adversely affect the integrity of the infrastructure within States, to the detriment of their security,

Underlining the need for enhanced coordination and cooperation among States in combating the criminal misuse of information technologies, and, in this context, stressing the role that can be played by the United Nations and other international and regional organizations,

Highlighting the importance of the security, continuity and stability of the Internet, and the need to protect the Internet and other ICT networks from threats and vulnerabilities, and reaffirming the need for a common understanding of the issues of Internet security and for further cooperation at national and international levels,

Reaffirming that policy authority for Internet-related public issues is the sovereign right of States, which have rights and responsibilities for international Internet-related public policy issues,

Recognizing that confidence and security in the use of information and communications technologies are among the main pillars of the information society, and that a robust global culture of cyber-security needs to be encouraged, promoted, developed and vigorously implemented, pursuant to Paragraph 4 of General Assembly Resolution A/RES/64/211,"Creation of a global culture of cybersecurity and taking stock of national efforts to protect critical information infrastructures",

Stressing the need for enhanced efforts to close the digital divide by facilitating the transfer of information technology and capacity-building to developing countries in the areas of cyber-security best practices and training, pursuant to Paragraph 11 of General Assembly Resolution A/RES/64/211,"Creation of a global culture of cybersecurity and taking stock of national efforts to protect critical information infrastructures",

Adopts the International Code of Conduct for Information Security as follows:

I. Purpose and Scope

The purpose of this Code is to identify States' rights and responsibilities in information space, promote their constructive and responsible behaviors, and enhance their cooperation in addressing the common threats and challenges in information space, so as to ensure the ICTs including networks to be solely used to the benefit of social and economic development and people's well-being, and consistent with the objective of maintaining international stability and security.

Adherence to this Code is voluntary and open to all states.

II. Code of Conduct

Each State voluntarily subscribing to this Code pledges:

1. To comply with the UN Charter and universally recognized norms governing international relations, which enshrine, inter alia, respect for the sovereignty, territorial integrity and political independence of all states, respect for human rights and fundamental freedoms, as well as respect for diversity of history, culture and social systems of all countries.

2. Not to use ICTs including networks to carry out hostile activities or acts of aggression and pose threats to international peace and security. Not to proliferate information weapons and related technologies.

3. To cooperate in combating criminal and terrorist activities which use ICTs including networks, and curbing dissemination of information which incites terrorism, secessionism, extremism or undermines other countries' political, economic and social stability, as well as their spiritual and cultural environment.

4. To endeavor to ensure the supply chain security of ICT products and services, prevent other states from using their resources, critical infrastructures, core technologies and other advantages, to undermine the right of the countries, which accepted this Code of Conduct, to independent control of ICTs, or to threaten other countries' political, economic and social security.

5. To reaffirm all States' rights and responsibilities to protect, in accordance with relevant laws and regulations, their information space and critical information infrastructure from threats, disturbance, attack and sabotage.

6. To fully respect the rights and freedom in information space, including rights and freedom of searching for, acquiring and disseminating information on the premise of complying with relevant national laws and regulations.

7. To promote the establishment of a multilateral, transparent and democratic international management of the Internet to ensure an equitable distribution of resources, facilitate access for all and ensure a stable and secure functioning of the Internet.

8. To lead all elements of society, including its information and communication private sectors, to understand their roles and responsibilities with regard to information security, in order to facilitate the creation of a culture of information security and the protection of critical information infrastructures.

9. To assist developing countries in their efforts to enhance capacity-building on information security and to close the digital divide.

10. To bolster bilateral, regional and international cooperation, promote the United Nations' important role in formulation of international norms, peaceful settlement of international disputes, and improvement of international cooperation in the field of information security, and enhance coordination among relevant international organizations.

11. To settle any dispute resulting from the application of this Code through peaceful means and refrain from the threat or use of force.

Вот такой документ может быть принят на 66-й Генеральной Ассаблее ООН, которая началась пару дней назад в США.

Атакован компьютер? Получи бомбардировку!

Многие, наверное, слышали, что недавно США в своей стратегии противоборства в киберпространстве разрешили себе на кибернападение ответить с помощью обычных вооружений. Многие восприняли это как очередную попытку США получить для себя какие-то преференции и выделиться на фоне других. Восприняли и забыли. А зря... США вынесли этот вопрос на повестку 66-й Генеральной Ассамблеии ООН, которая началась пару дней назад. США предлагают приравнять кибернападение к обычному военному нападению и используют следующую логику (текст с Ассамблеи ООН): "Несмотря на уникальные особенности информационно-коммуникационных технологий, существующие принципы международного права служат надлежащей основой для определения и анализа правил и норм поведения, которые должны регулировать использование киберпространства в связи с военными действиями. Существуют две различные, но взаимосвязанные нормативно-правовые основы, которые следует рассматривать в этой связи: jus ad bellum и jus in bello. Первая является основой для рассмотрения вопроса о том, дает ли степень серьезности инцидента в киберпространстве основания приравнивать его к применению силы, что влечет за собой осуществление страной права на самооборону. Вторая представляет собой основу для определения правил, регулирующих использование киберпространства в контексте вооруженного конфликта".

По первой основе американцы говорят, что кибернападение ничем не отличается от обычного и действующие принципы ООН позволяют уже сейчас отвечать бомбардировками на кибератаки: "Возможно сложно прийти к окончательному правовому заключению о том, что подрывная деятельность в киберпространстве представляет собой вооруженное нападение, влекущее за собой осуществление права на самооборону. Например, в тех случаях, когда источник угрозы и мотив неизвестны, а последствия не приводят к массовой гибели или физическим разрушениям, возможны различные выводы о том, имело ли место вооруженное нападение. Тем не менее такая неопределенность и возможность расхождений во мнениях не означают необходимости разработки новой правовой основы конкретно для киберпространства. Они просто отражают проблемы в применении правовой основы Устава, которая уже существует во многих контекстах. Тем не менее в ряде обстоятельств подрывная деятельность в киберпространстве может представлять собой вооруженное нападение".

По второй основе американцв говорят: "В праве вооруженных конфликтов изложен комплекс правил, известных как jus in bello, которые применяются при ведении вооруженного конфликта, включая использование инструментов информационной технологии в контексте вооруженного конфликта. Эти принципы запрещают нападения на чисто гражданскую инфраструктуру, сбой работы или разрушение которой не приведет к достижению значимых военных преимуществ. Кроме того, до планирования нападения на военную цель необходимо оценивать возможный сопутствующий ущерб. Иными словами, для совершения нападений с использованием информационных технологий необходимо проводить анализ целей в той же степени, как и при совершении нападений с использованием кинетического (обычного и стратегического) оружия. Хотя вышеизложенные принципы являются общепризнанными и применяются в контексте киберпространства, также верно и то, что толкование этих нормативно-правовых основ в контексте деятельности в киберпространстве может представлять собой новые и уникальные вызовы, которые потребуют консультаций и сотрудничества между странами. В этом нет ничего необычного. Когда разрабатываются новые технологии, они часто вызывают проблемы в плане применения существующих правовых норм".

Достаточно интересная позиция, которая показывает направление развития международного законодательства в области ИБ. Учитывая влияние и возможности США, не исключаю, что они добьются своего и смогут на уровне международного права приравнять обычные военные нападения и кибератаки со вусеми вытекающими отсюда последствиями.

Как разные культуры относятся к риску?

Брюс Шнайер опубликовал ссылку на интересное исследование "The Cultures of Risk Tolerance", которое показывает разницу в уровне терпимости к риску в разных странах и культурах. В исследовании приняли участие 4000 человек из 23 стран мира; Россия, к сожалению, в список не попала. Если сразу перейти к выводам, то уровень терпимости к риску достаточно высок в странах с низким уровнем доходов (т.е. и в России тоже). Высокий уровень означает нетерпимость и желание снизить риски или переложить их на кого-то. В странах с высоким уровнем доходов, в странах с преимущественно индивидуалистичным стилем жизни, в странах, в которых граждане живут в определенной гармонии с собой и окружащим миром уровень терпимости низкий, а значит граждане более доверчивы, чем, собственно, и пользуются многие мошенники.

Тема DLP вновь на подъеме?! Но готовы ли вы к ней?

Вообще тема DLP вновь стала возрождаться из пепла. В обозримом будущем пройдет аж целых три мероприятия по данной тематике:

• DLP Russia 2011 - вендор-независимое и самое первое в России мероприятие по данной тематике, организуемое Infowatch. Буду там выступать с темой про защиту от утечек в мобильных и распределенных корпоративных системах. Пока даже не знаю, что это и про что рассказывать. Но кто-то меня сдал, что я якобы в этой теме силен ;-)
• DLP Conference - вендор-независимое мероприятие, организуемое компанией Zecurion (бывший бренд SecureIT). Первый раз оно пройдет в рамках InfoSecurity Russia 2011. Тоже должен был там выступать, но буду в командировке.
• DLP Web Conference 2011 HD - вендор-независимое онлайн-мероприятие, также организуемое Zecurion'ом. Буду и там выступать. Пока не придумал про что.

Но написать хотел про другое. В начале сентября Стефан Марчевитц опубликовал пост "9 причин, по которым вы не готовы к внедрению DLP". Начинается он за здравие и рассказывает, как большинство вендоров продает свои продукты - начинается все с trial-версии, пойманным нарушителем, случайно отправившем что-то кому-то, страшилками про штрафы и т.п. А дальше Стефан предлагает каждому, кто планирует внедрение DLP, честно ответить себе на 9 вопросов:

• Вы провели оценку рисков? Не тупое заполнение матрицы качественными характеристиками "ущерб высокий"-"вероятность средняя", а вполне конкретными значениями стоимости конфиденциальной информации. А перед этим необходимо еще и саму информацию выделить и отделить действительно конфиденциальные данные от обычного информационного шума. Да и на вопрос: "Какие потери мы готовы принять?" стоит ответить ДО внедрения, а не после и не во время.
• Знаете ли вы нормативные требования, которые влияют на вас? PCI DSS, ФЗ-152, СТО БР ИББС, СТР-К - это только верхушка айсберга. В зависимости от отрасли и региона могут быть и малоизвестные требования по обеспечению конфиденциальности данных. Где вы сильны, а где у вас пробелы в части закрытия этих требований?
• Вы знаете, где хранятся все ваши защищаемые данные? Не вообще, а конкретно где?
• Каков масштаб планируемого проекта? Вы хотите сразу охватить все предприятие? Может стоит начать с малого? Можете ли вы выделить это малое и четко очерчить границы будущего внедрения?
• Есть ли у вас план реагирования на утечки данных (как самостоятельный план или часть общего плана реагирования на инциденты)? Причем этот план должен включать не только уведомление об утечках, но и реализацию мер по снижению ущерба и времени восстановления в предатакованное состояние.
• Ваши политики, руководства, планы готовы к DLP и учитывают ее специфику?
• Вы классифицировали ваши данные? Не на уровне списка сведений, составляющих коммерческую тайну, а именно на уровне конкретных файлов, записей БД, потоков видео и аудио и т.д.
• Ваш бюджет учитывает все затраты на внедрение и эксплуатацию DLP? Стоимость лицензии на ПО и железо - это только шестая часть всех реальных затрат.
• Вы готовы управлять программой DLP в рамках цикла Шухарта-Деминга (PDCA)? Вы готовы думать не только о технической стороне вопроса, но и о повышении осведомленности персонала, а также о психологии данного вопроса?

К чему весь этот пост? Я ни в коем случае не хочу сказать, что тема DLP - это безнадежная и нереализуемая на практике идея? Нет. Просто я хочу еще раз подчеркнуть (на bankir.ru была большая дискуссия на эту тему), что DLP - это не панацея и не серебряная пуля. Внедрение ПО - это верхушка айсберга и ни один вендор не в состоянии за вас решить (а многие и не пытаются продавая вам коробку) большинство из описанных выше вопросов. Если вы не готовы заняться этим проектом всерьез, то лучше потратить свои деньги на что-то другое.

VMware покупает PacketMotion

Несколько лет назад из компании Cisco ушел достойный человек, которого звали Джонатан. И примечателен он был не только тем, что он отлично знал сетевую безопасность и сетевые технологии, но и тем, что у него была жена - русская ;-) И создал он компанию PacketMotion, которая одной из немногих адекватно реализовала технологию NBAD - Network-based activity detection, т.е. анализ сетевой активности на всех уровнях эталонной модели. Потом Джонатан стал интересоваться, как ему вести свой бизнес в России ;-)

И вот в конце августа компания PacketMotion была продана компании VMware (спасибо Тарасу Злонову за наводку).

Новости ФСТЭК по линии персданных

Был я на прошлой неделе на 4-м Алтайском ИТ-форуме в городе Барнауле с выступлением по решениям Cisco в области персональных данных (сама презентация доступна на SlideShare).И выступал передо мной представитель ФСТЭК по СФО, который сделал несколько интересных заявлений, которыми я и хотел бы поделиться:

1. На вопрос о том, нужна ли лицензия на ТЗКИ ответ был заковырист, но предсказуем. Итак логика ФСТЭК следующая. Вы видите в термине "обработка ПДн" слово "защита"? Нет. Значит множество операторов ПДн не равно множеству лицензиатов ФСТЭК. Дальше последовало разъяснение, что такое "защита информации" и был взят за основу ГОСТ 50922 (я лет 15 назад имел некоторое отношение к первой редакции этого ГОСТа, как его критик). Т.к. под данное определение подпадают все виды конфиденциальной информации, а ПДн также относится к ней, то лицензия на ТЗКИ нужна всем. Но не потому, что вы обрабатываете ПДн или являетесь оператором. А потому что то, что вы делаете, совпадает с тем, что написано в ГОСТ 50922, т.к. является лицензируемым видом деятельности. Вот такая сложная цепочка рассуждений, итог которой прост - лицензия ФСТЭК на ТЗКИ нужна всем. К слову замечу, что ФСТЭК УрФО утверждает, что лицензия нужна только тем, кто представляет услуги по ТЗКИ на платной основе; а для собственных нужд лицензия не нужна.
2. Часть подзаконных актов по ПДн будут разработаны, ВНИМАНИЕ,... ко 2-му кварталу 2012 года, а вся нормативка к концу 2012 года.
3. На закономерный вопрос о том, как жить до принятия новой нормативки, представитель ФСТЭК ответил, что жить по-старому, т.е. по 58-му приказу и двум документам по моделированию угроз. Кстати, представитель ФСТЭК считает, что моделированием угроз по-прежнему должны заниматься операторы ПДн. И это несмотря на то, что в новом старом ФЗ этой привилегии операторы лишены.
4. Кстати, "приказа трех" как и 58-го приказа не будет - им на смену придут другие документы.
5. По поводу оценки соответствия представитель ФСТЭК заявил классическую фразу: "оценка соответствия - это сертификация" и сослался на ПП-330. Также он проговорился, что к оценке соответствия установленного порядка относится еще и госконтроль и надзор (по ПП-330), но, мол, это не дело операторов и их не касается. И вообще, по поводу  ПП-330, представитель ФСТЭК заявил, что оно касается только разработчиков СЗИ и к операторам никакого отношения не имеет. На каком основании он сделал этот вывод я не понял.
6. Ну и наконец, ФСТЭК всех пугала наказаниями по ст.13.12 (применение несертифицированных СЗИ) и 13.13 (безлицензионзионная деятельность).

Вот такие новости. Выступавший РКН ничего нового не говорил; окромя заявления, что все обработчики ПДн - это все равно операторы.

ЗЫ. Раз уж зашел разговор о форуме, то не могу не сказать об отличной организации мероприятия. 4-й год подряд мероприятие становится все лучше и лучше, что оценивается и участниками. В этом году было 443 участника при 500 зарегистрированных. Организацией занималась компания Галэкс, за что ей огромная благодарность. К слову сказать, организовать такое мероприятие в до сих пор несданном помещении театра, где на все фойе с выставкой было три розетки... Это, я вам скажу, уметь надо ;-)

ROI для IPS

На позапрошлой неделе в FB с двумя бывшими коллегами из Информзащиты (оба MBA) спорили на тему - можно ли посчитать ROI для ИБ. Люди, прошедшие курсы MBA заявили, что все это фигня. Притянуть можно все угодно, хоть ROI, хоть WACC (хотя я недавно наткнулся и на упоминание использования WACC для ИБ). И даже если кто-нибудь такой расчет "съест", то финансистам это лучше не показывать - засмеют. Другая последовавшая рекомендация - ждать, когда иностранные эксперты придумают что-то внятное по ROI в ИБ.

И вот, разгребая очередную порцию исследований по экономике ИБ, наткнулся на исследование известной исследовательской компании Forrester, которая применила свою методику Total Economic Impact (TEI) для проекта по ИБ для одной американской компании. Результаты, которые устроили руководство заказчика, таковы:

• ROI - 142%
• Период возврата (payback period) - 5 месяцев
• Затраты - 291 тысяча долларов США. Включали в себя стоимость выбора и оценки вендоров IPS и процесса планирования внедрения IPS, стоимость железа, софта и поддержки, а также стоимость управления приобретенным решением.
• Экономия и полученные преимущества - 871 тысяч долларов США. Экономия была достигнута за счет снижения затрат на звонках в help desk по поводу атак и вредоносных программ, отказа от наема нового сотрудника в help desk, отказа от ручного обновления предыдущей системы защиты и "лечения" атакованных систем, а также за счет экономии на сотруднике, который занимался бы управлением сигнатурами, политиками и сигналами тревоги.
• NPV (прибыль от инвестиций) - 348 тысяч долларов США.

В процессе анализа консультанты Forrester выявили и ряд некалькулируемых преимуществ - от улучшения производительности/доступности системы и очистки канала от всякого мусора до защиты персональных данных и выполнение требований законодательства.

Дальше у пытливого читателя может возникнуть вопрос, а почему NPV 335 тысяч, если разница между затратами и выгодами 580 тысяч долларов США. Просто в дело вступил четвертый элемент методики TEI - риски. Они компенсируют первоначальные оценки получаемых преимуществ, что позволяет более точно оценивать итоговые результаты. В данном случае специалисты Forrester оценили значение этого показатели в 15%, что и привело к итоговому значению в 348 тысяч долларов (для облегчения я исключил из демонстрации расчета понятие временной стоимости денег).

ЗЫ. К слову сказать, аналогичную методику используем и мы в Cisco. Я о ней уже писал.

Поговорим о порнографии

На днях мне пришло предложение от RU-CENTER зарегистрировать какой-нибудь домен в зоне .xxx. Идея заполучить домен security.xxx меня не очень прельстила, но зато эта новость навела меня на другие размышления. Вообще Интернет и порнография вещи неотделимые друг от друга. И если не брать в расчет детскую порнографию, с которой и борются правоохранительные органы всех стран, то другие виды контента для взрослых вполне себе процветают. И это понятно - быстрота и анонимность... Свыше 47% пользователей просматривают время от времени порнографию в Интернет. Объем этого бизнеса измеряется сотнями миллиардов долларов, а доходы превышают прибыли Microsoft, Google, Amazon, eBaym Yahoo и Apple вместе взятых.

Очень часто в различных материалах/статьях/конференциях по безопасности как непреложный факт утверждается, что посещение порносайтов опасно с точки зрения заражения и установления контроля над компьютером пользователя. Но так ли это? В одном недавнем исследовании "Интернет для порно? Взгляд внутрь онлайн индустрии для взрослых" дается исчерпывающий (на мой взгляд) ответ на этот вопрос. Оказывается всего 3% (по некоторым другим работам всего 0.6%) порносайтов осуществляют вредоносное поведение - пытаются выполнить исполняемый код, изменить реестр или загрузить исполняемые файлы на компьютер пользователя. При этом из этих "вредоносных" сайтов только 1.8% содержали вредоносный код сами по себе - остальные 98.2% ссылались на вредоносный код через iframe. Авторы исследования предполагают, что это делается зачастую без ведома владельцев порносайтов, которые сами являются жертвами злоумышленников.

Такое расхождение с широко бытующим мнением об опасности порносайтов объясняется в исследовании тем, что на самом деле, у владельцев сайтов для взрослых и без вредоносных программ существует немало бизнес-моделей для заработка. Начиная от продажи членства в закрытых областях и продажи первых мест в рейтингах/коллекторах и поисковых выдачах специализированных порно-поисковиков до участия в различных партнерских программах, продажи кликов, перенаправлений трафика и просто его продажи (существуют даже специальные брокеры порнотрафика).

Разумеется методы, которыми достигаются цели владельцев порносайтов, не всегда честны - перехватчики поведения браузера, скрытые ссылки, редиректоры... Но угроз именно информационной безопасности эти методы не создают.

Выводы, которые делают авторы исследования, достаточно просты - основная цель авторов порносайтов - заработать денег. Причем заработать либо на самих пользователях за счет продажи им членства, либо за счет участия в различных партнерских программах. Задача заражения пользователей перед владельцами сайтов для взрослых не стоит. Однако... методы, которыми эти сайты пользуются для генерации прибылей, не всегда так безобидны и могут быть использованы для установления контроля над пользовательскими компьютерами. В качестве примера авторы исследования описывают, что в процессе работы они имели возможность заразить 20000 компьютеров всего за 160 долларов.

Что защищать и что не надо с точки зрения науки

Для одной из своих презентаций по финансовой оценке ИБ по я подготовил такую картинку:

Она позволяет взглянуть на информацию с точки зрения ее защиты. Далеко не всегда мы защищаем то, что имеет ценность. А часто мы защищаем то, что вообще является ценностью только в наших собственных глазах. И вот на днях я наткнулся на похожие размышления у Бейтлича, который придумал модель эффективности ИБ (Security Effectiveness Model).

Он тоже пишет, что при обеспечении безопасности можно выделить 3 следующих крупных области:

1. То, что необходимо защитить по мнению защищающейся стороны, независимо от того, представляет ли это "что-то" ценность для нарушителя безопасности и защищено ли оно на самом деле - т.е. "План защиты";
2. То, что представляет реальную ценность для нарушителя безопасности и на самом деле должно защищаться (хотя, возможно, оно не защищено) - т.е. "Цели угроз";
3. То, что на самом деле защищено в корпоративной ИТ-инфраструктуре независимо от точек зрения защищающихся и нарушителей, т.е. "Реальная система защиты".

Дальше у себя в блоге Бейтлич рассуждает об этой модели, представленной в виде диаграммы Венна, которая хорошо иллюстрирует связь этих областей (множеств). Например, план защиты правильный, когда он совпадает с действиями нарушителя. Это означает правильное моделирование угроз (включу к себе в курс). И он неправильный, когда реальная защита не пересекается ни с интересами службы ИБ, ни с интересами злоумышленников. Дальше идут промежуточные состояния - "защищено", "скомпрометировано", "возможна компрометация", "уход от компрометации".

Самое интересное Ричард описывает дальше - как раз на стыке разных пересечений. Например, область "Incorrect, defended, compromise possible" (неверный план защиты, защищено, компрометация возможна". Она означает, что по непонятной причине у вас включена защита того, что вы не рассматривали в качестве мишени для злоумышленников. Может быть это было включено "потому что так у всех". А может просто это настройки "по умолчанию". Но в любом случае вам повезло - ни о какой планомерной защите в таком сценарии говорить не приходится.

Область "Correct, undefended, compromised" (верный план защиты, незащищено, компрометация) означает, что вы верно пресказали направление удара противника, но не защитились от него. Причин тоже может быть немало, например, банальная нехватка ресурсов.

Ваше попадание в центральную область "Correct, defended, compromise possible" может считаться идеалом, но только на первый взгляд. Да, вы правильно предсказали направление приложения сил злоумышленника и сосредоточили там свою защиту, но... дальше все зависит от тех ресурсов, которые бросит злоумышленник на взлом или обход вашей защиты. Вот тут уже важно подключать верхнюю картинку, которая подскажет, сколько тратить на безопасность.

Самая большая часть плана защиты (Incorrect, undefended, compromise avoided) включает очень распространненную ситуацию: вы не знаете от чего защищаться, мероприятия по защите не реализованы, но и вы никому не интересны ;-) Чуть лучше (хотя вы тоже никому не нужны) ситуация в сегменте "Incorrect, defended, compromise avoided". Это как говорится "на всякий случай".

Вот такая интересная модель. Позволяет немного по новому (как и любая визуализация) взглянуть на то, что делают службы ИБ на своих предприятиях и сконцентрироваться на упущенных областях. И, кстати, обратите внимание, что в этой модели отсутствует сегмент "Correct, defended, compromise avoided". И это правильно. Если вы (или часть вас) никому не нужны, то зачем тратить ресурсы на защиту? Даже если это и общепринято защищать...

Электронное правительство с точки зрения ИБ

Попался мне в руки системный проект формирования в РФ инфраструктуры электронного правительства. Весомый документ; аж 89 страниц. Судя по метатегам документ не новый, как минимум прошлогодний. Об этом говорит и то, что именно на его основе строится госпрограмма "Информационное общество 2012 - 2020", которую приняли в конце прошлого года. Но местами в документе встречаются фрагменты еще более древние. Например, приравнивание информации к материальным объектам и распространение на первую вещного права. При этом системный проект ссылается на ст.128 ГК РФ, которую переиначили аж 5 лет назад, в 2006-м году. Да и понятие собственника информации из старого трехглавого закона также фигурирует в системном проекте (а ведь от него тоже отказались в 2006-м году).

Сам раздел по ИБ вполне себе приемлем. Грамотные идеи, грамотные принципы реализации ИБ. Например, принцип дружественности гласит, что "Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей".

Неожиданно для документа, исходящего из госоргана, выглядит принцип оптимальности и разумной однородности - "Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты".

Принцип адаптивности гласит, что "Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации". Главное, чтобы последнее не трактовалось как "давайте заложим требования по максимуму". Я на днях с таким столкнулся в одном проекте. Заказчик говорит - нам нужна СКЗИ КС3. На мой вопрос, зачем, ведь ни в одном нормативном акте (даже ФСБ) такого требования нет, заказчик ответил: "А вдруг ситуация изменится?"

В целом, раздел по ИБ для электронного правительства более чем достоин для изучения, а в ряде случаев и для использования в собственных документах.

Вопрос вызывает только один пункт. Но даже не в контексте его невыполнимости или некорректности. Просто могу предположить, что его трактовать будут вполне очевидным образом, который поставит крест на всех описанных выше принципах. Речь идет о фразе "установить на уровне постановления Правительства Российской Федерации обязательные требования к объектам инженерной инфраструктуры по информационной, технологической безопасности, а также формы оценки соответствия (сертификация, декларирование)". К такой инфраструктуре относится все, кроме АРМов электронного правительства. Зная, как наши регуляторы трактуют фразу "оценка соответствия в установленном порядке", можно предположить, как будет трактоваться это требование ;-(

Шнайер отдыхает

Увидел сегодня у коллеги на столе толстенный манускрипт (см. картинку). Книга впечатляет своими размерами. Ну и содержание тоже достойно изучения криптографам-теоретикам. Мне этот фолиант напомнил Шнайеровскую "Прикладную криптографию". Похожее содержание, похожий размер. Единственное, чего не хватает лично мне - это практической части. Теория теорией, но в России она никому не нужна - есть ГОСТы и все. А вот практические вопросы применения криптографии мало кто расписывает. Но это даже не претензия - просто замечание; судя по названию книги авторы и не ставили перед собой задачи погружения в тему практической криптографии.

Куда податься генералу ФСБ?

Все помнят первого зама 8-го центра генерала-лейтенанта Баранова А.П., который на протяжении долгих лет заправлял в России такой непростой темой, как криптография. В начале года он вышел на пенсию. Но вот на просторах Интернет был найден документ, демонстрирующий, что Алексанжр Павлович еще послужит на благо России.

Дословно текст гласит: "В целях усиления позиций на предварительных внутрипартийных голосованиях по определению кандидатуры для последующего выдвижения в составе чувашской региональной группы федерального списка кандидатов в депутаты ГосДумы РФ, коллегиально было принято решение по выдвижению единого кандидата от Союза машиностроителей России.

Свои заявления об участии в праймериз в пользу единого кандидата от Союза машиностроителей России, заместителя генерального директора ФГУП «Главный научно-исследовательский вычислительный центр ФНС России» Александра Баранова отозвали первый вице-президент Союза машиностроителей России Владимир Гутенев, президент «Концерна «Тракторные заводы», член Бюро ЦС Союза машиностроителей России Михаил Болотин, вице-президент «Концерна «Тракторные заводы» Наталия Партасова, вице-президент по глобальным рынкам «Концерна «Тракторные заводы» Владимир Лепин.

По мнению члена чувашского регионального Координационного совета Народного фронта, авторитетного представителя индустриального сообщества России Михаила Болотина, «машиностроителям как никогда важно не количество, а качество участия в предварительном голосовании. Богатейший опыт и научные знания по использованию и внедрению передовых технологий, которыми обладает Александр Павлович Баранов, без сомнения, будут востребованы в законотворческой деятельности и поспособствуют выработке конструктивных идей по скорейшей модернизации и техническому переоснащению производственных площадок промышленного комплекса Российской Федерации. Союз машиностроителей России выдвигает лучших представителей гражданского общества», - считает Болотин.

Баранов Александр Павлович родился в 1951 году в г.Москве. После окончания Московской средней школы поступил в Высшую школу КГБ СССР на факультет засекреченных систем связи по специальности «прикладная математика». Прошел служебный путь от младшего сотрудника – лейтенанта до генерал-лейтенанта – первого заместителя начальника центра ФСБ. Занимался исследованиями принципов защиты отечественной электронной компонентной базы для шифровальной аппаратуры широкого спектра применения. Доктор физико-математических наук, академик Академии Криптографии РФ. Удостоен двух орденов РФ. Почетный сотрудник КГБ СССР, ФАПСИ при Президенте РФ, а также премии Правительства России в области науки и техники. В настоящее время работает в Главном научно-исследовательском вычислительном центре ФНС заместителем гендиректора по обеспечению информационной безопасности компьютерных систем, разрабатываемых для Федеральной налоговой службы России."

Можно ли считать отдачу от ИБ?

Вопрос с Security ROI возникает постоянно. Как по делу, так и в разного рода спекуляциях. И четкого ответа так до сих пор и нет. Я его тоже не дам ;-) Но можно поразмышлять - может что и родится в процессе. Начну с того, что оценка возврата инвестиций в ИБ не обязательно должна проводиться в форме конкретной и измеряемой отдачи, прибыли. Ведь инвестирование часто происходит для того, чтобы защитить имеющуюся рыночную долю, снизить юридические риски, повысить эффективность (производительность) или поднять лояльность потребителя. Тут о прибыли говорить не приходится. По крайней мере напрямую. Хотя повышение производительности должно сказаться на повышении прибыльности. Например, та же географическая экспансия за счет внедрения технологий удаленного защищенного доступа. А лояльность потребителей (например, за счет внедрения системы отражения DDoS) сказывается как на числе сделок, так и на текучести клиентов, что тоже может быть выражено в конкретных денежных знаках. Правда, чтобы ИБшнику посчитать лояльность, надо активно работать с отделом по работе с клиентами и объяснить, зачем ему статистика текучести клиентов за полгода-год до внедрения системы и после. Но это уже отдельная песня - как выйти на бизнес-уровень.

Итак, как оценивать отдачу? Можно выделить два подхода - оценка с точки зрения результата и оценка с точки зрения процесса. В первом случае обычно оценивается разница "до" и "после" внедрения технологий/процессов ИБ. Разумеется с учетом и других факторов. Например, рост числа сделок или их ускорение после (кстати, "после" не значит "вследствии") внедрения VPN может быть вызван увеличением числа продавцов, прохождением ими специализированных курсов по продажам, внедрении программы мотивации и кучей других причин. Этот подход также используется обычно в одномоментных проектах (соответствие ФЗ-152 по требованиям ФСТЭК/ФСБ, внедрение защиты от DDoS, VPN между офисами и т.д.). В таких проектах достаточно просто показать достижение цели и расслабиться.

При определении вклада ИБ с точки зрения процесса оценивается применение технологий на промежуточных этапах достижения поставленных целей. Задача этого подхода оценивать немного иные показатели - точка во времени, когда проект по ИБ "ушел" с правильного пути, ошибки, приведшие к превышению затрат или недостижению заданных показателей, причины появления случайных или непредвиденных затрат. Данный подход также применяется и в "длинных" проектах с поэтапным инвестированием, когда отклонение чревато отставанием компании от конкурентов, когда необходимо поддерживать ранее сделанные инвестиции или когда надо выявить причины ухода с правильного пути или недостижение промежуточных реперных точек (такой причиной может быть непроведенный вовремя или неудачно проведенный тренинг повышения осведомленности по вопросам ИБ) и т.д.

Вообще идеально объединение этих двух подходов, что позволит не только показать достижение целей, но и оптимальность этого достижения или причины недостижения. На практике же многие идут именно по второму пути - с одной стороны он проще в реализации и в объяснении руководству, которое привыкло считать, что ИБ (да и ИТ тоже) измерить нельзя. С другой стороны в этом подходе не требуется обеспечивать достижение каких-то результатов - а это снижение ответственности, что всегда приятно ;-)

Но в ряде случаев второй подход может быть и сложнее. Например, оценка того или иного продукта с финансовой точки зрения может быть осуществлена в некоторых сценариях достаточно просто. В таком случае оценка на основе процесса, подразумевающая не только финансовую результативность, будет избыточной. Опять же, не всегда финансовая результативность может быть легко посчитана и продемонстрирована. Тогда мы оцениваем проект с иных точек зрения. По этому принципу строится система сбалансированных показателей, где финансовое измерение только одно из 4-х.

Интересные документы по безопасности Web и Social Media

За последнее время наткнулся на несколько интересных документов по ИБ. Информацию о них я кидал в Twitter, но не факт, что все видели эти ссылки.

Первый документ, а точнее его проект, подготовлен OWASP (The Open Web Application Security Project). Документ называется "Application Security Guide For CISOs" и это название говорит само за себя. Собственно сам документ сейчас как раз и создается ;-) Содержание документа ориентировано именно на руководителей ИБ и почти не содержит техники - один бизнес:

• выделение бюджета на защиту приложений
• измерение защиты приложений - потери, бизнес-воздействие, оптимизация затрат, ROI
• ценность информации
• выбор проблем, которые требуют внимания и выделения бюджета в первую очередь
• метрики.

Первые три пункта уже описаны; остальные в процессе.

Второй документ "SOCIAL MEDIA RISKS AND MITIGATION" описывает риски и стратегию управления ими для социальных медиа (социальные сети, блоги, твиттер и т.д.). Документ очень подробный и описывает social media с трех сторон - использование для общения с заказчиками, использование сотрудниками в личных целях и использование сотрудниками за пределами компании. И хотя документ ориентирован на финансовые организации, он будет полезен и всем остальным.

Мне понравился раздел по compliance, который описывает применение social media с точки зрения различных нормативных актов (иностранных) - в контексте персданных, в контексте законодательства о труде, в контексте PCI DSS, в контексте законодательства о рекламе и т.п.

Второй раздел связан с описание рисков применения social media - распространение вредоносного ПО, кража идентификационных и персональных данных, социальный инжиниринг, утечка интеллектуальной собственности, снижение продуктивности и т.д. Третий раздел описывает применение social media в целях мониторинга репутации предприятия.

В приложениях даны не только ссылки на различные нормативные акты и инструкции по использованию блогов, сайтов и т.п. в деятельности финансовых организаций (преимущественно американские), но и приведена всеобъемлющая матрица рисков.

Резюмируя, могу сказать, что оба документа достойны для изучения. Они могут лечь в основу собственной стратегии использования social media в организации.