28.4.12

Защита критических инфраструктур в прицеле ученых

Продолжу тему критических инфраструктур. Брюс Шнайер дал ссылку на интересную статью "Critical infrastructure protection: The vulnerability conundrum", в которой два автора (Алан Мюррей и Тони Грубесик) попробовали обосновать немного отличную от принятой модели защиты критичных инфраструктур (АСУ ТП). Как рассуждали авторы? Они проанализировали множество исходных данных и пришли к выводу, что большинство строят защиту критичных инфраструктур из т.н. "worst case" ("самый худший вариант") сценария. Т.е. анализируются уязвимости, риски и угрозы,...

27.4.12

Делай, что должен, и будь, что будет!

Сразу хочу сделать замечание: я комментировать опубликованные проекты Постановлений Правительства по персданным пока не буду. Ключевые моменты я отразил, рассказывая про Форум директоров по ИБ. Дальше начинается уже глубокий анализ текста, который сейчас, наверное, не имеет смысла. Кто хочет, может посмотреть комментарии Алексея Волкова. Я от текста тоже не в восторге, но и критиковать их, не делая попытки что-то поправить, считаю не совсем правильным. Разумеется при условии, что можно что-то поправить. Это вам не законопроект, выложенный на...

Проекты новых Постановлений Правительства по ПДн опубликованы

На сайте ФСБ опубликовано два проекта Постановления Правительства по ПДн: Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данны...

Кладезь информации по защите АСУ ТП

Завершу эту неделю постом опять про АСУ ТП, а точнее про то, как рекомендуют защищать их в США. Информация это публичная и может быть очень полезна и отечественным организациям, применяющим АСУ ТП в своей деятельности. Документы ФСТЭК по этой тематике имеют гриф и если, по счастливой случайности, компания, использующая АСУ ТП, не попала в перечень критически важных объектов, то она остается один на один с злоумышленниками. Никаких иных отечественных документов, описывающих требования по защите АСУ ТП, у нас нет (если не считать стандарты Газпрома)....

26.4.12

Безопасность электроэнергетики

Про безопасность электроэнергетики в разрезе защиты SmartGrid и АСУ ТП я уже неоднократно писал. Но тема не теряет своей актуальности, о чем говорит возрастающее число зарубежных материалов по этой теме. Например, большой исследовательский отчет Pike Research о безопасности SmartGrid, в котором не только озвучивается сумма инвестиций в это направление (18 миллиардов долларов до 2018 года), но и говорится, что 63% этих ресурсов пойдут на защиту АСУ ТП, используемых в электроэнергетике. Но несмотря на это, информационная безопасность критически...

25.4.12

Краткий анализ 313-го Постановления, сменившего на посту ПП-957

16 апреля закончилась эпоха 957-го Постановления Правительства "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами". Ему на смену пришло новое Постановление № 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области...

24.4.12

Безопасность мобильных платежей

Сегодня, в 12 дня в рамках MIPS открывается конференция "Безопасность платежных систем". И пригласили меня сделать доклад на тему "Мобильные платежи в контексте СТО БР ИББС". Z уж не знаю, почему пригласили меня прочитать эту тему; вроде как в ПК5 ТК122, который и отвечает за мобильный платежи, я не вхожу. Но раз уж пригласили, то надо отдуваться. Сначала я хотел прочитать что-нибудь похожее на то, что я читал на PCI DSS Russia 2012. Потом мне пришла в голову ценная мысль, что начать надо с рассказа о том, как можно получить доступ с мобильного...

23.4.12

Угроза АСУ ТП растет

Американцы отмечают рост угроз для АСУ ТП. Это связано не только с ростом числа уязвимостей в системах, отвечающих за управление технологическими процессами, но и с ростом интереса различных хактивистских и анархистских групп. И если раньше атаки на АСУ ТП были уедом избранных, то сегодня это все больше и больше становится мейнстримом. Уже разработано немало инструментов, которые облегчают решение этой задачи. Речь идет и о специализированных поисковых...

20.4.12

Революция от ФСТЭК и новости от ФСБ

Форум закончился. Прошло пару дней. Впечатления сформировались - можно ими и поделиться. Мне понравилось ;-) И не только потому, что мы были спонсором. Просто мероприятие действительно было ориентировано на аудиторию, что бывает не часто. И особенно порадовало то, что присутствовали представители ФСТЭК и ФСБ, которые не молчали как обычно и не отделывались общими фразами. Выступления Олега Залунина и Виталия Лютикова были конкретны и насыщены фактами и интересными новостями. С них и начну. Тезисно из выступлений Олега Залунина (ФСБ): Проекты...

19.4.12

Как меня развели или об очередном творении в моей библиотеке

Предыстория... Наткнулся на Озоне на книжку "Экономика защиты информации" некоего Шепитько Г.Е. Анонс меня привлек. Рецензии тоже. Там и про то, что ее все практики ИБ должны прочесть, и про возможность общаться с бизнесом после прочтения книжки, и про многое другое. Потом, правда, я обнаружил, что все рецензии даны в течение всего одной недели мая 2011 года. Содержание весомое. Начал читать. Вообще автор местами просто удивлял. Начиная...

18.4.12

Все ли метрики нужны? Все ли метрики важны?

И вновь вернусь к одной из дискуссий, поднятых на форуме директоров ИБ. Была поднята тема измерения эффективности ИБ. Нередко упоминались метрики ИБ, KPI ИБ и т.д. Но... стоило копнуть глубже и тема сдувалась. Выступающие, как правило, приводили в пример простейшие метрики ИБ. Вроде времени реагирования на рассмотрение заявки на доступ к ресурсам. Правильная ли это метрика? Безусловно. Важна ли она? Нет. Она никак и ни на что не влияет. Это пример технической метрики, которая нужна только для внутренней деятельности службы ИБ (я таких примеров...

Как считать риски?

Вчера, на форуме директоров по ИБ опять подняли тему оценки рисков. Традиционно. И опять ни к чему не пришли. Зрители в зале пытались получить серебряную пулю в виде конкретных рекомендаций, а выступающие отговаривались общими фразами про классическую формулу "риск = вероятность * ущерб". На вопрос про оценку ущерба ответ был предсказуем - "экспертная оценка". На вопрос о вероятности - экспертная оценка или база инцидентов. В итоге все остались недовольны. Одни - ответом. Другие - вопросом ;-) Я к теме оценки рисков не обращался уже года два....

17.4.12

Мои презентации с форума директоров по ИБ

Вчера, на первом дне межотраслевого форума директоров по ИБ я делал две презентации. Первая была посвящена тенденциям, на которые стоит обратить внимание руководителей ИБ в ближайший год-полтора. Security trends for Russian CISO in 2012-2013 View more PowerPoint from Alexey Lukatsky Вторая презентация была вводной к секции по безопасности ЦОДов, которую я вел. Data Centers Security View more presentations from Alexey Lukatsky. Общие впечатления от форума с акцентом на наиболее интересные выступления (а там было, что послушать;...

16.4.12

TIBCO покупает LogLogic

3 апреля американская TIBCO объявила о намерении приобрести производителя решений по управления логами LogLogic. Детали сделки не раскрываются, как и причина приобретения. TIBCO раньit не была замечена в этом сегменте рын...

Руководство NIST по дизайну криптографических ключевых систем

NIST выпустил Special Publication 800-130 "A Framework for Designing Cryptographic Key Management Systems", посвященный, как это видно из названия, вопросам дизайн ключевых систем для СКЗИ. 111 страниц достойнейшего чтива; и чтива публичного, не скрытого никакими грифами и ограничениями. Генерация ключей, активация ключей, регистрация владельцев ключей, деактивация ключей, перевыпуск ключей, отзыв ключей, блокирование ключей, уничтожение ключей, восстановление ключей, архивирование ключей, ввод ключей в криптографические модули и т.д. И это только...

Проверьте свои сайты. Быстро!

По плану сегодня я хотел опубликовать другую заметку. Но так получилось, что планы мои поменялись. В пятницу вечером я активно гуглил в поисках нужной мне информации. Сначала я искал просто ссылки, потом сконцентрировался на поиске конкретных презентаций, ну а потом затянуло ;-) Я стал играться с Google, вспомнив, как прошлой осенью в Интернете разгорелся скандал по поводу выкладывания многими госорганами у себя на сайтах конфиденциальной информации, служебной тайны, а в ряде случаев (по словам коллег) и гостайны. И вот я решил повторить тот же...

13.4.12

Сертификация специалистов по ИБ. Какая правильная?

Вопрос, вынесенный в заголовок, возникает, сколько я себя помню, регулярно. То на bankir.ru, то на professional.ru, то на Linkedin (одна из самых последних), а то и просто в частных беседах. Те, кто не имеет пока блях на груди, спрашивают у "гуру": "Ну какая же сертификация самая-самая?!" Гуру, почесывая в затылке, как правило отвечают - CISSP, CISM или CISA. А потом начинается флейм ;-) Так какая же правильная? Универсального ответа, к счастью,...

12.4.12

А вы знаете, что делает ваш компьютер, пока вы спите?

Посмотрите на ваш рабочий компьютер... Что вы видите? Монитор, клавиатура, системный блок, считыватель CD, USB-порты... А внутри? Процессор, материнская плата, жесткий диск, контроллер, память... Деталей много. А знаете ли вы, как они работают? Уверены? А если подумать? В 2008-м году я написал статью "Материнская безопасность" о закладках на уровне процессора ПК. Примерно в тоже время об этом написал Шнайер, а ComputerWorld повторил это уже на русском...

11.4.12

35 стратегий защиты от любителей кенгуру

Я уже не раз хвалил австралийское Министерство Обороны и их центр по обеспечению безопасности в киберпространстве. Прошлым летом выпустили они замечательный документ под названием "Стратегии для отражения целенаправленных кибератак". В этом двухстраничном документе нашли отражение все ключевые стратегии обнаружения и отражения вторжений в киберпространстве. В простой и понятной табличной форме перечислены в порядке приоритета элементарные рекомендации, среди которых: пачьте приложения минимизируйте число пользователей с административными правами используйте...

10.4.12

15 причин утечек персональных данных

Ондрей Криль (Ondreо Krehel) из американской Loews Corp. опубликовал на днях интересную заметку, в которой перечисляет 15 самых распространенных "худших практик", приводящим к самым серьезным утечкам персональных данных. Он отнес к ним: Отсутствие шифрования важной информации, особенно персональных данных. Хранение ненужных данных, например, учетных записей уволенных сотрудников. Использование конфиденциальной информации в тестовых целях, например, при передаче СУБД на тестирование разработчикам. Неправильное удаление резервных копий и дампов,...

9.4.12

О комплексе неполноценности Microsoft

Прошлая неделя прошла под знаком травли маководов. Эксперты обнаружили ботнет на 500 с лишним тысяч ПК с ОС MacOS. И началось... Особо преуспели фанаты Windows, которые наконец-то смогли оторваться на владельцах якобы невзламываемой ОС. Мне это напоминает известный конфликт виндусятников и линуксоидов, который не продолжается уже десятилетия и с завидным постоянством всплывает на многих ресурсах, конференциях, статьях и т.п. Хотя надо понимать, что сравнивать Windows и Linux, Windows и MacOS - это все равно, что сравнивать Volkswagen и Toyota....

6.4.12

Новая версия курса по персданным

Новое в версии 4.5: Почему госорганы не включают в план проверок Передача ПДн в рамках цессии по мнению РКН Количество согласий субъектов Про подготовку списка/описания процессов Новая версия «письма шести» Обновление раздела по лицензировании ТЗКИ и СКЗИ Взгляд юристов на новое ПП-79 Новости ФСТЭК в части изменения нормативной базы Роль МВД при проверках по персданным Мнение РКН по обезличиванию Грубые нарушения регуляторов при проверках Типовые ошибки РКН при проведении проверок Изменения ст.5 ФЗ «О техническом регулировании» О квалификации...

Кодекс деловой этики оператора связи

В США каждый десятый компьютер входит в состав ботнета. В России такая же статистика по данным МВД. Это проблема и проблема серьезная. Если с ней не бороться на всех уровнях - пользователи, корпорации, операторы связи, государство, правоохранительные органы, то будет еще хуже. Хороший пример подали в США, где Online Trust Alliance (OTA) вместес Федеральной комиссией по связи предложили операторам связи (по желанию) принять, утвержденный пару недель назад кодекс деловой этики в области борьбы с ботнетаии (U.S. Anti-Bot Code of Conduct for Internet...

5.4.12

Ответ на загадку

Увы, так никто правильного ответа и не дал. Правильный ответ - Федеральная служба безопасности при Президенте Российской Федерации ;-) Почему в актах указаны именно такие моменты, не всегда присущие полномочиям ФСБ в части проверок по теме ПДн? Ответ был буквально следующий: "для ФСБ такого рода проверки в новинку, поэтому то что знали то и проверяли" ...

Загадка по ПДн: угадайте, кто это?

Отсутствие "единства измерений" при проверках по теме ПДн давно стала притчей воязыцех. Если посмотреть акты проверок, судебные решения, ответы регуляторов, то складывается впечатление, что каждый регулятор "кто во что горазд". И это несмотря на то, что по идее их полномочия достаточно четко определяет и ФЗ-152 и ФЗ-294. Но не тут-то было. Т.к. через меня проходит энное количество различных актов проверок, то выбрал я несколько и решил загадать читателям блога загадку. Угадайте, кто из регуляторов мог составить такие фрагменты из актов проверок? Итак...