26.7.13

Мегарегулятор

23-го июля Президент подписал закон 251-ФЗ "О внесении изменении в некоторые законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков". 300 с лишним страниц текста, суть которых заключается в том, что Банк России теперь становится мегарегулятором в области финансовых рынков. Помимо кредитных организаций и участников Национальной платежной системы (НПС) под контроль Банка России теперь попали организаций, осуществляющие деятельность:
  1. профессиональных участников рынка ценных бумаг; 
  2. управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда; 
  3. специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда; 
  4. акционерных инвестиционных фондов; 
  5. клиринговую деятельность; 
  6. деятельность по осуществлению функций центрального контрагента; 
  7. деятельность организатора торговли; 
  8. деятельность центрального депозитария; 
  9. деятельность субъектов страхового дела; 
  10. негосударственных пенсионных фондов; 
  11. микрофинансовых организаций; 
  12. кредитных потребительских кооперативов; 
  13. жилищных накопительных кооперативов; 
  14. бюро кредитных историй; 
  15. актуарную деятельность; 
  16. рейтинговых агентств; 
  17. сельскохозяйственных кредитных потребительских кооперативов.
И тут возникает первый интересный вопрос. Будет ли (то, что сейчас нет, понятно) на эти организации, прямо подпадающие под регулирование ЦБ, распространяться действие нормативных документов по информационной безопасности? 382-П, наверное, нет. А вот СТО БР ИББС? Его теперь можно рекомендовать к применению не только банкам.

Второе изменение очевидное - ввиду появления новых подконтрольных организаций (некредитных финансовых) ЦБ получает право запрашивать у них ПДн и получать их без согласия субъекта.

Третье интересное изменение - право служащих Банка России беспрепятственного доступа на территорию некоторых подконтрольных организаций. Формулировка с незначительными поправками следующая: "При осуществлении контроля служащие Банка России в соответствии с возложенными на них полномочиями при предъявлении ими служебных удостоверений и решения председателя Банка России (его заместителя) о проведении проверки имеют право беспрепятственного доступа в помещения организаций, право доступа к документам и информации (в том числе к информации, доступ к которой ограничен или запрещен в соответствии с федеральными законами), которые необходимы для осуществления контроля, а также право доступа к программно-аппаратным средствам, обеспечивающим фиксацию, обработку и хранение указанной информации".

Ну и наконец были внесены изменения в статью 26-ю закона "О банках и банковской деятельности", касающиеся банковской тайны. В частности служащим кредитной организации запрещено информировать клиентов и иных лиц о передаче банковской тайны Банку России.

25.7.13

Так готова Россия к информационному противоборству или нет?

Про отношение к кибервойнам в РФ я уже писал неоднократно (тут, тут и тут). Сначала это было скорее негативное отношение. После активного вовлечения Рогозина и Шойгу в этот процесс появилась некоторая надежда. Сначала замначальника Генштаба выступил на последнем Инфофоруме с очень неплохим докладом, показывающим понимание проблемы. Потом появилась информация что одно Минобороны РФ объявило тендер на исследования в сфере информационной безопасности. Среди прочего вооруженные силы РФ заинтересовались "методами и средствами обхода антивирусных систем, средств сетевой защиты, средств защиты операционных систем". В марте Рогозин заявил о создании киберкомандования, а совсем недавно Шойгу заявляет о создании "научных рот" и привлечении талантливых программистов в Вооруженные Силы.

5 июля Путин провел заседание Совета Безопасности, где, среди прочего, говорил о милитаризации киберпространства и необходимости быть готовым к отражению киберугроз. В частности Президент заявил, что необходимо "повысить уровень защиты соответствующей инфраструктуры, прежде всего информационных систем стратегических и критически важных объектов". Среди первоочередных задач названо военное планирование. Безусловно важнейшая задача. И вот вчера она стала реализовываться - Президент подписал Указ №631 "Вопросы Генерального штаба Вооружённых Сил Российской Федерации", в котором явно говорится о том, что теперь именно Генштаб отвечает за подготовку и представление Президенту плана информационного противоборства.

Кстати, в последней редакции Национальной стратегии кибербезопасности, готовящейся в Совете Федерации, также веден термин "кибервойна"; как и термин "кибероружие". Вроде бы все хорошо. Президент, вице-премьер, министр обороны (ну и еще некоторые не столь явные, но высокопоставленные чиновники) заявили о необходимости готовиться к кибервойнам. Но вот дальше...

23 июля Президент подписал закон 208-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам антитеррористической защищённости объектов". По идее, есло сложить слова Путина о защите критически важных объектов от кибернападений и появление нового закона, можно было бы сделать вывод о том, что в новый закон должны быть внесены изменения именно в части антитеррористической защищенности и в информационном пространстве. Но... в подписанном законе ни слова об кибертерроризме!

Ну может просто не успели внести необходимые изменения? Все может быть. Но только если бы это было единственным пятном. Так нет. Помните я писал про созданный в начале года Фонд перспективных исследований? Тогда я предположил, что фраза Рогозина о том, что надо учитывать не только угрозы прошлого, но и угрозы будущего, и горизонт планирования новых угроз должен составлять 30 лет. Я наивно полагал, что в Военно-промышленной комиссии понимают о том, что помимо ядерного оружия и иных видов вооружений сбрасывать со счетов кибервойны не стоит. Каюсь, был наивен.

Недавно прочитал доклад Общественного совета Председателя Военно-промышленной комиссии при Правительстве РФ "Фонд перспективных исследований в системе оборонных инноваций". В нем перечислено то, как должны развиваться научно-техничские разработки оборонного назначения. По идее и информационному противоборству должно было быть найдено место в этом отчете. Ан нет. В список попали:
  • биоинженерия человека (органы для трансплантации, искусственная кровь, криоконсервация, реанимационный робот),
  • биотехнологическое производство материалов и топлива,
  • интегрированные сетевые технологии и разумные сети управления,
  • транспортные системы (гиперзвуковой самолет, экраноплан, конвертоплан),
  • энергетика (линейные генераторы, редокс-аккумуляторы),
  • военная робототехника (глубоководные аппараты, высотный беспилотный разведчик, транспортный робот-мулькоптер, автоматизированный грузовик, патрульный робот, экзоскелет).
Более подробно этот отчет проанализирован тут. Я же хотел коснуться только третьего пункта. По идее это то, что у иностранцев называется C4I (command, control, communications, computers, and intelligence). Т.е. информационные технологии для поддержки процесса ведения войн. Это не то, чтобы плохо, но явно недостаточно. Тут подразумевается, что ИТ - это важный, но всего лишь сопутствующий механизм. Кибервойны как самостоятельное направление у нас почему-то не рассматривают серьезно. И даже об атаках на критические инфраструктуры говорят, но реально к ним готовятся мало. Как минимум, на уровне планирования, о важности которого говорил Путин. Т.е. опять хаотические движения без четкого плана... В какой-то момент это аукнется ;-(

ЗЫ. Кстати, осенью готовится принятие некоторых нормативных актов по теме безопасности критических инфраструктур.

24.7.13

Cisco покупает Sourcefire

23 июля компания Cisco объявила о намерении приобрести американскую компанию Sourcefire, известную своими системами предотвращения вторжений и поддерживаемым open-source проектом Snort (IDS) и ClamAV (антивирус). Размер согласованной обеими сторонами сделки составляет около 2.7 миллардов долларов. Завершение сделки планируется во второй половине этого года. До завершения поглощения компании будут продолжать свою деятельность независимо друг от друга.

Учитывая не самую высокую распространенность Sourcefire в России и невысокую активность в области продвижения и сертификации можно предположить, что текущие заказчики врядли столкнутся с серьезными проблемами в результате данной сделки. Зато после завершения сделки российские потребители смогут гораздо лучше узнать продукцию Sourcefire через большую партнерскую сеть Cisco. При этом можно предположить, что продукты Sourcefire в России лягут в общую стратегию Cisco и они будут поданы на сертификацию, на них будут получены все нотификации, и выполнены все остальные действия и процедуры, присущие и остальным продуктам Cisco в области информационной безопасности.

ЗЫ. О судьбе Snort говорить пока нечего - какая-то ясность может появиться только после завершения сделки.

22.7.13

Финансовая эффективность программ Bug Bounty для разработчиков

О программах Bug Bounty слышали многие. Это программа финансового вознаграждения, получаемого независимыми исследователями, находящими уязвимости в программном обеспечении того или иного производителя. Такие программы есть у многих компаний - Facebook, Microsoft, Google, Avast, PayPal, Mozilla, Qiwi, Yandex. И это только верхушка айсберга - наиболее полный список приведен на сайте Bugcrowd.

Часто возникает вопрос, в чем смысл запуска такой программы? Зачем платить кому-то деньги, если можно нанять в QA-департамент грамотных исследователей, которые за зарплату будут ежедневно искать дыры и это никогда не станет достоянием общественности? Так-то оно так, но с финансовой точки зрения оказалось, что программы Bug Bounty имеют вполне себе измеримую пользу в денежном выражении. Например, Google и Mozilla затратили за 3 года действия своих программ около 400 тысяч долларов, что меньше, чем инвестиции в специалистов, которые за эти же три года смогли бы найти такое же количество уязвимостей.

Разумеется речь идет о достаточно высокооплачиваемых специалистам, годовой доход которых может достигать 80-100 тысяч долларов. Уже 2 штатных специалиста, занятых поиском уязвимостей, обойдутся компании-разработчику дороже, чем выплата по программе Bug Bounty. А ведь еще стоит учитывать и различные отчисления, которые могут увеличить "стоимость" специалиста в 2-3 раза по сравнению с "чистой" зарплатой.

Значит ли это, что работать исследователем в компаниях, производителях ПО, невыгодно и лучше уйти на вольные хлеба, занимаясь самостоятельными исследованиями. Увы, нет. Согласно последнему исследованию "An Empirical Study of Vulnerability Reward Programs", наиболее удачливый фрилансер смог "заработать" у Google немногим больше 105 тысяч долларов, а лидер у Mozilla - около 140 тысяч долларов в год (до вычета налогов). И это верхушка списка. На самом деле средний заработок исследователя-фрилансера гораздо ниже. Большинство внешних исследователей Mozilla получили от 3-х до 6-ти тысяч долларов, а у Google и того меньше - от 500 до 1000 долларов.

Что в итоге? Для компании-разработчика - создание Bug Bounty является выгодной затеей. За меньшие деньги она получает больший результат. А вот для внешних исследователей делать ставку только на такой способ зарабатывания денег не стоит - это скорее подработка или хобби, чем способ заработать себе на хлеб с маслом.

19.7.13

Мои статьи об оценке эффективности ИБ

За последнее время я опубликовал несколько статей об оценке эффективности информационной безопасности. И если вам сложно смотреть пятисотслайдовую презентацию, то вот вам несколько других ссылок на мои статьи, написанные в разные годы. Некоторые я даже не смог идентифицировать, для кого написаны ;-)
  • статья на GlobalCIO - "Что понимается под оценкой эффективности ИБ?" (2013)
  • статья в IT-Manager - "Как измерить безопасность рублем?" (2013)
  • публикация Cisco - "Информационная безопасность в условиях кризиса" (2009)
  • статья для Connect - "Подходы к оценке экономической эффективности ИБ" (2009)- полная версия
  • статья для bankir.ru - "Информационная безопасность в условиях кризиса" (2009)
  • статья  не помню для кого - "Как кризис меняет взгляды на информационную безопасность" (2009)
  • статья для CIO - "BSC и информационная безопасность" (2009)
  • статья для Cnews - "Как заставить ИБ приносить прибыль" (2008)
  • статья для Гротека - "Как ИБ влияет на прибыль" (2008)
  • статья для КИС - "Как связять ИБ с бизнесом" (2008)
  • статья в ИКС - "Почти по Марксу, или Информационная безопасность как средство получения прибавочной стоимости" (2006)
  • статья не помню для кого - "Бизнес без опасности"
  • статья в PCWeek/RE - "Возврат инвестиций в информационную безопасность" (2002)
  • статья в ИТ&Д "Обоснование необходимости приобретения средств защиты. Совокупная стоимость владения"
  • статья в Компьютер-Пресс - "Информационная безопасность. Как обосновать" (2000)

17.7.13

Что ждет финансовую отрасль с точки зрения нормативного регулирования ИБ

Столкнула меня тут судьба с рядом новых проектов нормативных документов по информационной безопасности в финансовой сфере. Поделюсь некоторыми впечатлениями о них.

Первый блок новостей по СТО БР ИББС. Вопреки мнению некоторых коллег о том, что СТО (на фоне 382-П) не выживет и постепенно проиграет соревнование, могу сказать, что все не так. СТО развивается очень активно и вокруг него создается очень неплохое и перспективное нормативное окружение. Про проект Указания Банка России "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных" слышали многие, а вот про новые готовящиеся РС врядли. А они готовятся. В частности РС "Требования к обеспечению информационной безопасности на стадиях жизненного цикла банковских приложений". Как написано в преамбуле к нему: "Документ содержит детальные рекомендации по организации работ по созданию автоматизированных банковских систем, их модернизации и выводу из эксплуатации, формированию требований ИБ, предъявляемых к создаваемым системам, контролю ис-полнения требований ИБ и оценке их защищенности в ходе эксплуатации. Настоящий документ содержит также рекомендации по составу типовых функциональных требований ИБ, предъявляемых к различным составным частям АБС, а также рекомендации по составу, содержанию и порядку проведения работ по оценке защищенности АБС". Иными словами, данные рекомендации отвечают на вопросы "ЧТО делать с АБС с точки зрения ИБ?" и "КАК это делать?". Среди прочего в документах прописана и тематика анализа кода банковских приложений на предмет поиска в них "нехороших вещей". Данная РС находится в высокой степени готовности.

Вторая готовящаяся РС называется "Рекомендации к ресурсному обеспечению ИБ". О ней, как и о предыдущей, упоминалось в Магнитогорске, но ее содержание мало кому известно, а оно очень интересно. В преамбуле к документу написано, что он "содержит рекомендации, следование которым позволит организациям БС РФ надлежащим образом решать вопросы, связанные с планированием ресурсов организации, привлекаемых для решения задач в области ИБ, и контролем эффективности использования этих ресурсов при создании, эксплуатации и совершенствовании СОИБ". Ресурсы не все, а только финансовые и кадровые. Иными словами, документ должен дать подсказку (серебряной пули ждать не стоит) на вопрос "КАК доказать необходимость выделения денег и людей на обеспечение информационной безопасности?" Животрепещущий вопрос, на которой Банк России готовится дать ответ.

Но это не все. Про обновление 382-П я уже писал, но не за горами и обновление 2831-У. И вот оно будет гораздо более объемное, чем 382-П. По сути - это заново переписанные рекомендации по заполнению 203-й формы отчетности, которая претерпела колоссальные изменения. Поменялось почти все - ни о какой косметической доработке и речь не идет. С одной стороны я вижу в этом положительные изменения - многие вещи теперь четко систематизированы и не надо будет задумываться, что писать в ту или иную колонку 203-й формы. Но есть и то, что меня смущает. "Бумажная" нагрузка на безопасников участников НПС возрастет; и возрастет существенно. Без серьезной автоматизации процесса тут не обойтись. Но и это еще не все.

ТК122 тоже не дремлет и готовит также парочку новых документов. Один из них - "Рекомендации по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно телекоммуникационной сети Интернет". В преамбуле к нему написано, что "Настоящие Рекомендации предназначены для использования операторами по переводу денежных средств и привлекаемыми ими банковскими платежными агентами (субагентами) в целях повышения уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети Интернет. Настоящие Рекомендации должны рассматриваться как дополнение к Положению Банка России от 09.06.2012 №382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"." Процедура голосования по документу находится в завершающей стадии. Второй готовящийся документ от ТК122 - давно ожидаемое "Руководство по хорошим практикам обеспечения защиты информации при осуществлении переводов денежных средств, в том числе при оказании услуг дистанционного банковского облуживания".

Ну и, наконец, финальная версия перевода PCI DSS 2.0 на русский язык. Вроде как уже она должна была появиться. Вначале обещали 1-го июня, потом сдвинули на 1-е июля. Так что допускаю, что где-то она есть и мы ее скоро увидим. Держать ее в тайне большого смысла не вижу, если, конечно, модераторы процесса не решат, что за 3-4 месяца до выхода 3-й версии PCI DSS смысла выпускать перевод второй нет.

Вот примерно так...

16.7.13

Разъяснение ФСТЭК по 17-му и 21-му приказам

Вчера под вечер ФСТЭК опубликовала информационное сообщение о том, как следует читать отдельные фрагменты 17-го и 21-го приказа, устанавливающие требования по защите персональных данных и государственных информационных систем. Я не буду пересказывать само сообщение ФСТЭК (оно достаточно понятно написано), а просто перечислю те вопросы, на которые оно отвечают (удалив бюрократическую шелуху и оставив простой человеческий язык):
  1. Когда вступают в силу 17-й и 21-й приказы и надо ли переаттетсовывать ИС (АС), если они проходили аттестацию до вступления упомянутых новых приказов в силу?
  2. Как определить класс защищенности государственной информационной системы, если в ней обрабатываются персональные данные? Как соотнести класс защищенности ГИС и уровень защищенности ИСПДн?
  3. Что такое "оценка эффективности принимаемых мер по обеспечению безопасности персональных данных"? В какой форме она может проводиться коммерческими и государственными/муниципальными операторами ПДн?
  4. Муниципальные образования ложатся под 17-й или 21-й приказ?
  5. Продолжает ли действовать СТР-К?
  6. Как соотносятся старое понятие "автоматизированная система" и новое "информационная система"?
  7. Если в сертификате на средство защиты не указана сертификация на отсутствие НДВ, можно ли считать, что это СрЗИ проходило оценку соответствия на отсутствие НДВ?
  8. Как регламентируется применение пентестов и SDLC, прописанных в качестве мер нейтрализации актуальных угроз 1-го и 2-го типа?
  9. Что еще готовит ФСТЭК в дополнение к 17-му и 21-му приказам?
Обратите внимание, что ФСТЭК вновь возвращает себе роль методологического лидера (то, чего так не хватает 8-му Центру ФСБ) и готовит не только новые РД по новым типам средств защиты (об этом в письме ни слова, но такие работы ведутся), но и новые рекомендации по тем вопросам, которые раньше ФСТЭК обходила молчанием - управление уязвимостями, реагирование на инциденты, обновление сертифицированных средств защиты информации и т.п.

Также еще обратите внимание на последний абзац. Он говорит не о том, что ФСТЭК снимает с себя ответственность за принятие решение об актуальности угроз 1-го и 2-го типов. Совсем нет. ФСТЭК напоминает операторам ПДн, чтобы они лучше читали ПП-1119, в котором право и обязанность определения актуальных типов угроз лежит на операторе ПДн и ни на ком ином. Не стоит ждать от ФСТЭК или ФСБ ответа на этот вопрос - они вам его не дадут, т.к. законодательством на них эта функция не возложена. И бояться, что вас заставят пересмотреть уровень защищенности или модель угроз, тоже не стоит. Нет такой процедуры (исключая, быть может, государственные органы и муниципальные образования в рамках аттестации) и не будет (ее и при "приказе трех" не было). Поэтому смело принимайте, что у вас угроз 1-го и 2-го типа нет. При этом вам никто не запрещает самостоятельно выбирать дополнительные защитные меры по 17-му или 21-му приказу, снижающие вероятность использования недекларированных возможностей. Главное, не вписывать себе эти угрозы как актуальные. И не потому, что вы будете вынуждены либо пентесты заказывать (это не так уж и плохо), либо выбирать вендора с реализованным процессом SDLC (выглядеть это может так). И даже не потому, что средства защиты в этом случае должны быть сертифицированы на отсутствие НДВ, а это сильно сокращает спектр выбора. Проблема в грядущем приказе ФСБ по персданным, который устанавливает достаточно специфические требования к защите от угроз 1-го и 2-го типов. Мало вам точно не покажется (а местами эти требования вы физически не сможете выполнить).

Но хочу добавить и ложку дегтя. Не на все вопросы письмо дает ответы. Отчасти потому, что ФСТЭК не уполномочена трактовать законодательство, а там есть ряд нюансов, например, с трактовкой термина "государственная информационная система". Отчасти потому, что новые вопросы слишком бы усложнили и утяжелили письмо. А отчасти потому, что ответить ФСТЭК на эти вопросы пока нечего. Ну вот например:
  • Стоило бы хоть как-то разъяснить про принцип экономической целесообразности и о том, чем руководствоваться при принятии решения о нецелесообразности. Все-таки это революционное требование для ФСТЭК и его стоило бы пояснить. Особенно для тех организаций, который подпадают под 21-й приказ, но при этом будут аттестовать свои системы по новым ГОСТам - ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013. Проверяющие у них спросят о признаках признания экономической нецелесообразности выбора защитных мер или могут вообще с ними не согласиться.
  • Если в 17-м приказе написано, что СрЗИ должны быть только сертифицированными, то что делать с системами контроля целостности, доступности, управления конфигурацией и т.п.? На что их сертифицировать? При этом я понимаю, почему ФСТЭК на него не отвечает. Там столько подводных камней. И с 199-м приказом, и с общей парадигмой сертификации средств защиты. Число типов средств защиты плодится все больше и больше и ФСТЭК просто не успевает выпускать новые РД под них (учитывая, что изначально РД писались не под средства защиты, а под уровни конфиденциальности/секретности защищаемой информации). А еще и испытательным лабораториям и органам по сертификации надо обучиться их применять. Может пора уже провести четкую грань между средствами защиты гостайны и всего остального? Первые сертифицировать как раньше, а для вторых сменить парадигму?
  • Если потребитель выбирает систему защиты виртуализации для выполнения требований блока ЗСВ, то что должно быть написано в сертификате или ТУ, чтобы заказчик был уверен, что ему продали то, что действительно удовлетворяет требованиям 17-го или 21-го приказа? Ведь не секрет, что многие вендоры/испытательные лаборатории не выдают потенциальным покупателям ТУ до момента сделки. А после оплаты уже поздно спорить. Но опять же, ответ на этот вопрос требует пересмотра существующей системы сертификации средств защиты информации, на что ФСТЭК врядли решится в обозримом будущем.

15.7.13

Лебедь, рак и щука информационной безопасности

Современные службы информационной безопасности (да и регуляторы заодно) сегодня стоят перед непростым выбором - как строить систему корпоративной (или ведомственной) защиты? Еще несколько лет назад такого выбора и в помине не было. Парадигма была проста - внутри злоумышленника быть не могло и поэтому защищаться надо было на периметре (и даже если он был, его можно было остановить на периметре); оборона должна быть эшелонированной; и конечно же, обеспечивать ИБ должно само предприятие. Так было вчера. А что сегодня?

А сегодня картина полностью изменилась (и кто знает, что будет завтра). Начнем с того, что чисто периметровая защита уже мало что решает. И установка на ПК антивируса тоже. И на DLP на серверах... Нужна полноценная защита внутренней сети, которая позволяет охватить взглядом всю инфраструктуру и все сетевые потоки, проходящие по ней - от ПК к серверам, между виртуальными машинами, от камер видеонаблюдения к видео-хранилищу, от принтера к Интернет, от СКУД куда-нибудь еще. Нужен именно всесторонний контроль, который позволит отследить то, что пропускают точечные средства защиты, эффективность которых зависит от того, где они установлены. Не лишним будет напомнить, что сетевое оборудование (коммутаторы, включая виртуальные, маршрутизаторы, точки и контроллеры беспроводного доступа) должны участвовать в процессе сбора информации, на базе которой будет приниматься решение о нарушении политик безопасности (и неплохо бы, если бы то же сетевое оборудование будет еще и точкой применения политик ИБ). Но это только начало.

У нас на повестке дня стоит и другой вопрос - эшелонированная или нет? Раньше (да и сейчас) нередко звучат рекомендации построения системы защиты, состоящей из нескольких уровней, которые последовательно должен пройти злоумышленник, чтобы получить доступ к защищаемому ресурсу. Но это красиво выглядит в теории, а что в реальной жизни? А на практике потребитель не готов платить за 6 последовательно установленных средств защиты (МСЭ, VPN, IPS, антивирус и контентный шлюз для анализа e-mail и Web). И за 3 тоже не хочет. И за два. Он готов заплатить за одну "железку", этакую "серебянную пулю", которая избавит его от всех хлопот с безопасностью. И находится немало желающих такую "пулю" разработать и предложить. А потребитель, особенно в условиях нехватки бюджета и его сокращения, готов с радостью ее купить. Так появляются средства класса UTM. Не скажу, что я большой сторонник объединения "все в одном" - я считаю, что это снижает защищенность (хотя эшелонированная оборона повышает сложность). Но что поделать, условия рынку диктует потребитель. Он хочет получить все в одном, да еще и подешевле? Он его получает. Но правильно ли это? Это вопрос.

Но и это не все вопросы, стоящие на повестке дня руководителя службы ИБ. Дальше возникает вопрос, к которому до сих пор многие безопасники относятся с подозрением. Речь идет об аутсорсинге ИБ и, как новомодное развитие, об облачной безопасности, которую вам организует третье лицо, нанятое по договору. Вообще, это кошмар для безопасника - отдать в третьи руки свою безопасность и не иметь (почти) возможности по управлению ею. В страшном сне такое не приснится. Кто-то к ней обращается вынужденно (например, при переходе к облачным вычислениям или аренде ЦОДа). Некоторые компании вполне осознанно переходят к этой модели, сосредотачивая в своих руках преимущественно контрольные функции. Единственно верного ответа тут тоже нет. Каждый должен ответить для себя сам.

Три концепции. Три вопроса. Три пути развития будущего информационной безопасности на предприятии. В любом случае закрывать глаза на них было бы неразумным (даже если вы и выбрали уже один из вариантов). И технологии и бизнес меняются так быстро, что не успеешь и глазом моргнуть, как то, что считалось невозможным прочно войдет в нашу жизнь и придется как-то (лучше осознанно) обеспечивать его безопасность (так было с BYOD).

ЗЫ. Хуже всего в такой ситуации регуляторам, которым невозможно выбирать одно, единственно верное решение и отталкиваясь от него, выстраивать свои нормативные документы. Это как раз тот случай, когда ставить на одну лошадь нельзя; не факт, что именно она придет первой. А для этого нужно сценарное планирование (security foresight), которое пока у нас находится в зачаточном состоянии.

11.7.13

Чернильница бешеного принтера перед каникулами выплеснула напоследок...

Уже и не думал, что Госдума чем-то еще порадует в эту сессию, ан нет, порадовала. Целыми тремя своими инициативами.

В апреле Правительство направило в Госдуму законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления административной ответственности за нарушение требований о защите информации)". Его зарегистрировали под номером 260123-6. Идея проста - ввести два новых состава правонарушений по ст.13.12 КоАП.

Согласно предложениям теперь у нас будут наказывать за нарушение требований по защите информации, установленных федеральными законами и принятыми в соответствие с ними нормативными актами (читай ФЗ-152, ФЗ-161, ФЗ-149, ФЗ-139, ПП-424 и т.д.), а также за нарушение требований по защите гостайны. Наказывать по данной статье смогут ФСТЭК и ФСБ.

Второй законопроект №282553-6 ("законопроект о Муму") завернули из-за нарушения регламента, но его могут и вернуть осенью. Он также вносит изменения в трехглавый ФЗ-149 и УК РФ и требует запрета размещения в Интернет материалов о насилии над животными. Планируется, что управлять данным составом правонарушений будет Роскомнадзор, т.к. информация о вредоносных сайтах должна храниться в реестре, в котором уже хранится информации о наркотиках, педофилии и суициде. Тургенев Иван Сергеевич, извини, депутаты не читали твою повесть и не думали о том, что ее надо будет запрещать и исключать из школьной программы!

Третий законопроект, даже не законопроект, а его идея, появился чуть ли не вчера. Согласно законопроекту, текста которого и нет (кроме пояснительной записки) операторы информационных систем в терминах ФЗ-149 будут обязаны обеспечивать безопасность доступа пользователей в сеть в виде борьбы от вредоносных программ (вирусов). Ну что тут сказать?.. Я бы хотел напомнить авторам законопроекта, что бороться с вредоносными программами надо не путем накладывания дополнительных обременений на Интернет-провайдеров (мало им антипиратского закона и защиты детей от негативной информации), а путем усиления наказания вирусописателей и распространителей, а также изменения правоприменительной практики по ст.273 УК РФ, чтобы преступники не отделывались условными сроками.

Я понимаю, что экспертам не надо думать, как писать законы (на это у нас есть депутаты), но я хотел бы посмотреть на определение вредоносной программы, мешающей доступу пользователя в сеть Интернет. А если нет четкого определения, то наказать можно будет кого угодно и за что угодно (не для этого ли пишется законопроект?). Да и теорию не плохо бы авторам посмотреть - нельзя обнаружить 100% вирусов. Получается, что любой пропуск вируса оператором связи и Интернет-провайдером - это нарушение законопроекта и статья УК РФ (планируется вменять неработающую 274-ю статью)?

Вот такие вот чернила...

10.7.13

Новое указание Банка России по защите информации в НПС

1 июля Минюст зарегистрировал новое Указание Банка России №3007-У от 05.06.2013 года "О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (текст в Консультант+). Изменений не так уж и много:
  1. Вводится понятие инцидента, связанного с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств.
  2. Вводится требование требование регистрации действий клиента в АБС. Про это я уже писал (тут и тут). Пожалуй, это одно из самых важных изменений.
  3.  Уточняется субъект, осуществляющий регистрацию инцидентов.
  4. Устанавливается требование проведения оценки соответствия по 202-й форме отчетности в течение 6 месяцев с момента получения статуса оператора по переводу денежных средств, оператора платежной системы, оператора услуг платежной инфраструктуры. Иными словами ждать до 2014-го года не стоит - стоит процесс ускорить. Для тех, кто уже определился со своей ролью, срок проведения оценки соответствия - 6 месяцев с момента вступления в силу Указания 3007-У.
  5. В соответствие с внесенными изменениями в основной текст введены изменения в Приложение 2.
  6. В приложении 2, в п.59 наконец-то уточнили, что проверять наличие сертификатов ФСБ надо только у СКЗИ российского происхождения, а не у всех, которые могут использоваться в рамках НПС.

9.7.13

EMC покупает Aveksa

Вчера, 8-го июля, компания EMC объявила о приобретении частной компании Aveksa, еще одного лидера в области идентификации и аутентификации. Решения приобретенной компании вольются в состав RSA и, в частности, в состав решения Adaptive IAM. Детали сделки традиционно не раскрываются.

8.7.13

Безопасность критических инфраструктур. Международные аспекты

Сегодня я выступал на Летней школе по проблемам глобальной безопасности, организованной ПИР-Центром. Сегодняшний день был посвящен вопросом кибербезопасности и меня пригласили выступить с рассказом о безопасности критических инфраструктур. Но так как участниками школы являются дипломаты, офицеры, другие государственные служащие, ученые-международники, журналисты, аспиранты из разных государств, то рассказывать им технические презентации о защите индустриальных систем я посчитал неправильным. Поэтому я сваял совершенно иную презентацию, рассказывающую о международных подходах в данном вопросе, о практике различных государств и т.п.Получилось вот что:


Безопасность критических инфраструктур. Международные аспекты from Alexey Lukatsky

Хочу отметить, что ПИР-Центр - это тот редкий (для меня) случай, когда я узнаю что-то абсолютно новое не самостоятельно, а от кого-то. В первый раз я про ПИР-Центр и его активность в сегменте информационной безопасности я узнал осенью прошлого года. Потом было несколько других примеров сотрудничества и вот новый опыт. Причем опыт потрясающий - совершенно новые знания, новые спикеры, новые взгляды, новые аналогии. Время не просто не зря потраченное, но даже с пользой и с новым багажом. Практически все описанные мной критерии выбора мероприятий в данном случае набрали бы максимальное количество баллов.

5.7.13

А что думают в ФСТЭК и ФСБ о SmartTV и электронных весах с подключением к Интернет?

Позавчера мне-таки вручили на прошедшее с месяц назад день рождения наушники, при изучении которых оказалось, что они не только имеют собственное приложение в AppStore для управления ими с iPhone, но и еще за прошивкой ПО лезут в Интернет через подключенный телефон или ПК.

Вчера с коллегами в офисе зашел разговор о фитнес-браслетах, которые "сдают" всю информацию в облако и могут ее расшарить через Facebook. Потом плавно перешли на наполные весы, которые через Wi-Fi выходят в Интернет и складируют в облако данные о значении веса и позволяют анализировать динамику (попутно расшаривая это через Facebook).

Анализируя покупки своих друзей, понимаешь, что очень многие либо планируют, либо уже имеют SmartTV или иные мультимедиа-центры, подключенные к Интернет (тот же AppleTV). И задался я простым вопросом. А вы уверены, что его еще не взломали!?

Да и фиг с ним, скажете вы. Что такого важного могут узнать хакеры, взломав обычный телевизор, пусть и с Интернет-выходом? Не так уж и мало. Например, они могут узнать, что вы смотрите. Может быть на людях вы мужлан или супермен, а вечерами рыдаете в подушку смотря лирические мелодрамы? Удар по имиджу и репутации. А может вы вообще нетрадиционной для нынешней России ориентации? Например, атеист ;-)

А еще они могут узнать когда вы смотрите свой телевизор. Т.е. будут знать, когда вас не бывает дома со всеми вытекающими последствиями. Они также могут использовать ваш умный телевизор или медиа-плейер как площадку для атак на весь мир и вы станете частью бот-сети. А если вы нарушаете "антипиратский" закон, то низкая защищенность вашего SmartTV может послужить (в теории) еще и источником доказательств для следственных органов (про незаконность доказательств писать не буду - в последнее время наши следователи не особо себя утруждают законностью). И конечно они могут использовать ваш телевизор для развития атаки на вашу внутреннюю домашнюю сеть. Но для этого у нас должны быть реализованы советы из моей прошлой заметки ;-)

Если же перейти от шуток (хотя юмора в описанном сценарии не так уж и много) к реальному делу, то мне интересно, что думают наши регуляторы о M2M-безопасности и безопасности Интернета вещей (Internet of Things)? Ведь это уже не будущее, а настоящее. Про свое участие в CTCrypt я уже писал. Я тогда поднял вопрос о том, что необходимо как-то решать вопрос с шифрованием в M2M. Речь шла о легковесной криптографии - в M2M и не нужно ничего сверхстойкого. Могу даже предположить, что и там и обычного DES вполне за глаза хватит. И хотя на первом месте в M2M будет целостность и доступность, а не конфиденциальность, о последнейзабывать не стоит. Вот допустим данные о электропотреблении, которые современные счетчики могут передавать по IP. Если кому взбредет в голову трактовать эту телеметрию как персональные данные (а информация-то относится к конкретному физлицу), то встанет вопрос о ее шифровании... сертифицированными СКЗИ...


Ну да ладно, фиг с ними, с ПДн в IP-электросчетчиках. Вернемся к M2M и CTCrypt. Озвучивая тему отсутствия российской криптографии для M2M, я имел ввиду не только отсутствие алгоритмов, но и вообще отсутствие позиции регулятора по данному вопросу (тему с тахографами пока оставим в стороне). Алексей Сергеевич Кузьмин сделал пометку про M2M, озвучив, что это действительно ново и надо подумать, что в этом направлении можно сделать. Но... ведь я эту тему озвучивал почти 2 года назад, в августе 2011-го года. Какая же она новая?.. Она вполне себе конкретная и реальная. Просто за 2 года к ней так никто и не подступался, решая, безусловно, гораздо более важные государственные задачи в виде разработки ПП-1119.

Мне можно возразить, что обычным физлицам ничего не грозит. На них требования ФСБ вроде как и не распространяются (таможенные требования оставляем в стороне). Ну допустим. Но вопросы-то ввоза никто не отменял. Чтобы российский гражданин купил M2M-оборудование, оно должно быть легально ввезено в Россию. А если в нем есть встроенное шифрование, то процедура ввоза может быть уже и не такой простой. Да, скорее всего на такое оборудование можно будет получить нотификацию (все-таки такое оборудование попадет под исключения), а если нет?..

А снимает ли это вопрос с применением M2M-решений в бизнесе или органах государственного управления? Там требования по применению сертифицированной криптографии никто не отменял. А где ее взять-то в зарубежных M2M? Невозможно физически.

Можно и про ФСТЭК вспомнить. Если у меня понадобиться аттестовать систему на базе M2M-решений? Кто имеет такой опыт? А с сертификацией средств защиты для M2M как быть? Нет ни требований, ни опыта, ни квалификации. И возможности развернуть стенд в рамках сертификационных испытаний тоже нет. У американцев в штате Айдахо построен город-лаборатория, где проходят тестирования различных средств защиты для электроэнергетики. Этот город имеет собственную электростанцию, 9 базовых станций мобильной связи и т.п. А у нас? Вот выпустят новые требования по защите АСУ ТП (осенью, кстати, первые нормативные документы появятся). И будет там прописана сертификация, как способ оценки соответствия. И как? И кто? И где? Как сертифицировать средство обеспечения ИБ электростанции или гидротурбины? Тащить в Королев, в испытательную лабораторию?

К чему эта заметка? Ругать никого не хочется. Россия не сильно отличается в этом вопросе от других стран мира. Как я писал для статьи в OSP "Сегодня отсутствует единый и унифицированный M2M-протокол. Различные работы ведутся в рамках проекта Eclipse различными международными организациями, включая МСЭ. Помимо чисто сетевых протоколов, разрабатываются и прикладные протоколы, ориентированные на различные виды M2M-взаимодействия — M2MXML, BITXML, XMPP (Jabber) и т. д. Учитывая отсутствие общепризнанных стандартов и то, что к этим работам приступили только в конце 2011 года, к решению вопросов обеспечения безопасности в M2M разработчики только-только начали подходить. В частности, вопросы ИБ сейчас рассматриваются в разных организациях по стандартизации — в рабочей группе № 3 комитета TR-50 ассоциации TIA, в фокус-группе по M2M при МСЭ (концентрируется сейчас преимущественно на отрасли здравоохранения), рабочей группе IETF (протокол 6LoWPAN), ISA (протокол SP100)". Т.е. стандартов и подходов еще не выработано, а внедрение M2M уже идет полным ходом. Вот сейчас и стоит задуматься о том, что может стать проблемой в ближайшем будущем. Пора формировать свое видение путей решений этой задачи, сформировывать перечень необходимых шагов, как в части различных НИОКРов, так и в части доработки/изменения/создания нормативной базы.

4.7.13

Мои критерии выбора участия в мероприятии по ИБ


Так случилось, что на сентябрь я получил 14 (!) приглашений выступить на различных мероприятиях в разных частях России, дальнего и ближнего зарубежья - Москва, Сочи, Лондон, Белокуриха, Нижний Новгород... Список впечатляет. И если раньше можно было спокойно выбраться на 5-6 мероприятий, то 14 - это перебор. Поэтому возникла идея составления критериев выбора мероприятий. Критерии озвученные Рустемом (тут и тут) интересны, но рассчитаны на спонсоров, к каковым я не отношусь.

В итоге родился вот такой список критериев:

  • Полезность для работодателя
  • Возможность встречи с друзьями и коллегами
  • Возможность узнать на мероприятии что-то новое или послушать кого-то нового
  • Полезность/выгода для меня лично (оценивается по-разному)
  • Удаленность от места жительства
  • Длительность мероприятия
  • Длительность предлагаемого выступления
  • Предлагаемая для выступления тематика
  • Место проведения
  • Место проживания (для выездных мероприятий)
  • Требуемое на подготовку к мероприятию время и ресурсы
  • Приглашающая сторона (организатор)
  • Неудобно отказать ;-)
Дальше все просто. Выбираются веса для каждого из критериев; причем в разные моменты времени они могут быть разными. И потом уже для каждого события указываются значения по каждому критерию, перемножаются с весами и получается итоговое значение. Обычный системный анализ ;-)

ЗЫ. Разумеется речь идет о мероприятиях, участие в которых есть продукт при полном непротивлении сторон (мероприятия с обязательным участием по этой методике не оцениваются).

ЗЗЫ. Загнал все это в Excel - сделал процедуру расчета автоматизированной ;-)

2.7.13

Security for Dummies

Все, наверное, видели книжки из серии "для чайников" (for Dummies). На Западе это достаточно популярная серия, насчитывающая за сотню различных наименований по различным направлениям. Есть такие книжки и по теме информационной безопасности (это, кстати, неполный перечень - на Amazon есть еще). Но помимо платных изданий, существует практика выпуска и бесплатных книг, распространяемых в маркетинговых целях и спонсируемых той или иной компанией. Но при этом содержание в них вполне адекватное. Вот небольшой список таких книг:
Обновление:
Обновление:

1.7.13

Измерение эффективности ИБ (презентация с курса)

Ну что, опять понесем в массы свои семинарские выкрутасы ;-) На этот раз презентация с курса по измерению эффективности ИБ или, если быть точнее, вообще по измерениям в ИБ. Тема непростая, скользкая, но интересная. А главное, модная ;-) Кто-то скажет, что профанация. Кто-то, что ничего нового. Для кого-то материал будет либо полезным, либо даст толчок к размышлениям и новым идеям. Поэтому и выкладываю.

Развивать тему планирую активно. Идей уже немало. Буду добавлять больше практики и конкретных расчетов. Вообще, этот блог 6 лет назад затевался именно под эту тему. Я тогда только начал изучать измерение эффективности ИБ. В 2007-м прочитал первый курс по ней (как сейчас помню, в Тайланде). Потом было затишье до 2010-го года - 3 года эта тема никому не была интересна. Третий раз я читал обновленную версию курса в мае этого года, на курсах MBA в РАНХиГС. Получаются этакие 3-хлетние циклы (2007, 2010, 2013). И вот последний раз в пятницу, в УЦ "Информзащита. Посмотрим, может пришла пора и для этой темы? А то все персданные, да персданные ;-)


Измерение эффективности ИБ from Alexey Lukatsky

ЗЫ. Хочу отметить, что звука также нет и не предвидится. Сложно это, писать звук на семинарах. Вопросы, перерывы... Потом накладывать на картинку замучаешься. А делать отдельную запись на 8 часов я не готов. Так что выдаю как есть.