30.9.13

От хакерских конкурсов к киберучениям

Кого мы можем называть специалистом-практиком по информационной безопасности? Выпускника ВУЗа с большими, но теоретическими знаниями? Человека, прошедшего курсы повышения квалификации в АИС или УЦ "Информзащита"? Или человека, имеющего реальный практический опыт защиты информации в госоргане? Наверное ни того, ни другого, ни третьего. Нужна не просто комбинация теоретических и практических знаний, но и их регулярное подтверждение. Вот о нем мы и поговорим.

В романе "Нейромант" Гибсона и "Лабиринте отражений" Лукьяненко есть интересная идея о создании полностью автоматической системы защиты, которая только усиливает свой потенциал  при нападении на нее. За счет искусственного интеллекта и нейронных сетей защита сама анализирует методы вторжения и подстраивается под них, автоматически выстраивая линию обороны. Если представить, что и система нападения тоже могла бы быть полностью автоматический и действующей без участия человека, то можно было бы получить очень интересную самообучающуюся систему, а точнее две, которая бы выбирала только выигрышные стратегии для атак и их нейтрализации. Но это фантастика, до которой нам еще далеко...

В реальности же мы имеем людей, которым помогают какие-то инструменты - для атак и для их отражения. Без человека эти инструменты пока не очень эффективны; хотя и облегчают решение некоторых задач. Функции самообучаемых систем атак и нападения выполняют люди, которым необходимо постоянно повышать свой уровень, не только получая новые знания, но и тестируя их на практике. В реальной жизни такой опыт дается слишком дорого и он слишком ценен, чтобы ждать возможности проверить свой багаж знаний и "ловкость рук". Поэтому и появляется красивая идея соревнований CTF (Capture The Flag), которые довольно распространены во всем мире, включая и Россию.

RuCTF, VolgaCTF, Defcon CTF, UralCTF, rfCTF, NeoQuest, PHD CTF и т.д. Считаясь молодежными, а иногда и студенческими мероприятиями, на них как раз и осуществляется проверка сил защитников и нападающих. К сожалению, данные мероприятия пока проводятся в России на добровольных началах без существенной поддержки со стороны государства. Конкурсы CTF не поддерживаются ни Рособразованием (не уверен, что там вообще знают про такую форму практических занятий), ни УМО по ИБ, ни ФСТЭК, ни ФСБ. Хотя нет, ЦИБ ФСБ на последнем PHD как раз заявил о поддержке идеи CTF, но пока только словесной. Работа в ФСБ по направлению информационной безопасности пока прельщает немногих победителей CTF. Помимо преимуществ работы в этой структуре, есть и ограничения, которые отрезвляют многих. А вот отсутствие хоть какой-то официальной реакции со стороны УМО по ИБ странно - именно это учебно-методическое объединение отвечает за развитие направления ИБ в России; именно через них проходят все ФГОСы по нашей тематике.

Но вернемся к идее проверке сил атакующих и нападающих. Врядли можно себе сейчас представить, что специалисты коммерческих служб ИБ ломанутся "играть" в эти игры. Кто-то стесняется, у кого-то нет опыта, у кого-то тупо нет времени. Но если не CTF, то что, как и где? И вот тут нам на помощь приходит европейский, американский и австралийский опыт. У них уже давно проводятся киберучения (cyber exercise). С 2002-го по 2012-й годы в мире было проведено 85 киберучений, в которых участвовало 84 государства. 71% всех учений прошли в период с 2010-го по 2012-й годы. Практически половина всех учений длится один день (как и большинство CTF); 32% длятся до 3-х дней, еще 15% - от 4 до 5 дней, и еще 4% - больше 5 дней.

Идея правильная, но врядли ее можно организовать в общегосударственном масштабе для всех без исключения предприятий. Поэтому в Европе, Австралии, США такие учения проводятся для критически важных объектов, что закономерно. Успешная атака на критическую информационную инфраструктуру может обойтись очень дорого, как для экономики страны, так и для жизни и здоровья ее граждан. Правда, наш 8-й Центр ФСБ пока не видит необходимости в такой инициативе. По крайней мере это предложение в законопроект по безопасности критических информационных инфраструктур было отклонено как неотносящееся к предмету законодательного регулирования (интересно, а к чему оно относится).

Понятно, что восьмерке врядли хочется брать на себя эту задачу (опыта-то нет). Но может все-таки в финальный текст закона эта идея попадет, как здравая и полезная в деле защиты наших критически важных объектов от случайных или направленных воздействий? А что касается отсутствия опыта... Начинать-то с чего-то надо. В качестве лучшей практики могу посоветовать посмотреть на европейские рекомендации ENISA, которые разработаны на основе проведения регулярных европейский киберучений Cyber Europe и трансатлантических киберучений Cyber Atlantic.

26.9.13

Международный опыт защиты критических инфраструктур

Так получается, что на InfoSecurity я сегодня видимо не попаду - заболел-таки. Но так как выход из строя произошел внезапно, то слушатели, пришедшие на мое выступление, его не услышат. Но зато хотя бы увидят. Я выкладываю свою презентацию, которую должен читать в 10 утра.


Международный опыт защиты критических инфраструктур from Alexey Lukatsky

ЗЫ. Если мне повезет, то я все-таки выберусь на InfoSecurity Russia 2013.

25.9.13

Организаторы ИБ-мероприятий, ну хотя бы раз прочитайте то, что вам советуют!!!

Зарекся в очередной раз быть капитаном очевидность в отношении организации мероприятий, но сегодняшнее посещение InfoSecurity Russia привело к нарушению данного обета. Я уже не раз писал про то, что такое нормальное мероприятие и какие составные части должны на нем присутствовать. Мне казалось, что компания, заявляющая, что она специализируется на проведении мероприятий, должна понимать, как надо их организовывать. Когда в прошлом году я писал свою заметку, я написал, что содержание 5-го пункта (окружение) очевидно. Оказалось нет. Поэтому повторюсь и раскрою очевидные вещи, если организаторы не могут заглянуть в любую книжку по организации мероприятий или записаться на аналогичные курсы.
  1. Доступ в Интернет. Ну как можно проводить мероприятие, связанное с информационными технологиями и не имеющего доступа в Интернет? Я не понимаю. Ладно свой не можете предоставить, так хотя бы проверьте, есть ли местный. А его нет. И МТС не ловит; вообще не ловит. Это же анахронизм.
  2. Еда. Уж сколько говорили на эту тему и по результатом прошлогодней InfoSecurity Russia не раз высказывались, что еда в Крокусе - говно. Она дорогая (ну не может салатик и холодная брокколи с кофе стоить 900 рублей), холодная (даже горячие блюда) и несъедобная. Почему нельзя кейтеринг нормальный организовать? Это дорого? Так за это будут платить посетители и участники.
  3. Презентер. А вот это вообще в никакие ворота не лезет. Как на КОНФЕРЕНЦИИ может не быть презентера? Организаторы подразумевают, что у спикеров они свои? Или что спикер придет с девочкой, которая будет жмакать по кнопкам? Или что спикер должен, стоя на трибуне, постоянно нагинаться, чтобы нажать на клавиши ноутбука. Так это у длинноногой и пышногрудой красотки в короткой юбке это получается интересно, а спикеров это отвлекает от презентации. Не говоря уже о потере звука, т.к. микрофон остается на трибуне.
  4. Презентаторские панели. Вы когда-нибудь пытались стоять за трибуной, иметь большой экран за спиной и ноутбук с презентацией не перед глазами? Вот как спикер должен следить за тем, что показывается на экране? А за временем он как будет следить? Что мешает поставить презентаторские панели (хотя бы одну)?
  5. Девочки. Не в том смысле, что каждому спикеру надо приставить по девочке, угадывающей все желания VIP-персоны. Просто девочка в зале решает очень много важнейших задач, которые и составляют качество мероприятия. Она должна следить за таймингом и вовремя показывать спикерам карточки с оставшимся временем (причем стоит показывать не только 5, 2 и 0 минут, но и -2 и -5). Она должна микрофон передавать слушателям из зала. Да мало ли чего она еще может делать? Как минимум, быть каналом связи с организаторами, если что-то пойдет не так.
  6. Микрофоны для слушателей. Как вы считаете, сколько микрофонов должно быть на зал, вытянутый по ширине, в котором свыше 100 человек сидит? Явно не один. А если он один, то стоять он должен в центре зала, а не лежать на столе президиума, что заставляет слушателей ходить к нему, чтобы задать свой вопрос.
  7. Микрофоны для докладчика. На одной из DLP Russia, которую организовывала компания Event Solution (рекомендую), Лена Гращенкова задала мне за пару недель до мероприятия сакраментальный вопрос - а какой микрофон я предпочитаю и как я люблю выступать - стоя за трибуной или ходя по сцене. От ответа на эти банальные вопросы зависит, какой микрофон или микрофоны могут понадобиться - стояк, ручной, петличный... Почему нельзя этот вопрос в опросник/чеклист добавить?
  8. Спикерская. У нас на Cisco Connect есть такая фишка - спикерская комната. В ней спикер готовится к своему выступлению и отдыхает после него. А где готовиться на InfoSecurity Russia? Там нет мест для этого - может искал плохо. В памятке участника этого тоже не было. Я понимаю какое-нибудь мероприятие, где плоская программа с одним потоком и десятком спикеров. Но когда у вас таких спикеров (и немало иностранцев среди них) несколько десятков почему нельзя позаботиться об их комфорте?
  9. Программа. Я понимаю, что типографская программа готовится заранее и если в нее не успели включить спикеров, то уже поздно. Но почему нельзя распечатать список спикеров и регалиями, с названиями их докладов и таймингом и выдать модераторам? А также указать там, когда будет в этом зале следующее мероприятие. Очевидные же вещи.
И это только то, что возникло в результате одного дня мероприятия :-( Слишком много для выставки-конференции, которая проводится в России уже не первый год и все больше и больше теряет свою аудиторию (какие бы реляции о тысячах зарегистрированных ботов не публиковались организаторами). Я поговорил с некоторыми коллегами, которые считают также :-(

А ведь я еще не поднимал темы контента. Это вообще отдельная песня. Поднимать ее не буду... Кто был на мероприятии и так все понял. Лишний раз убеждаюсь в том, что готовить программу может только профессионал в области ИБ - никто со стороны не способен это сделать нормально. И этому человеку надо заплатить, а не тупо эксплуатировать его как свадебного генерала. Он тратит свое время - это надо ценить и дать ему что-то взамен. Иначе желающих помогать будет все меньше и меньше. Вообще тема оплаты в последнее время поднимается все чаще и чаще. Кто-то говорит, что в России платные мероприятия невозможны. Но это ложь. Почему на платную Cisco Connect приходят несколько тысяч человек? А на DLP Russia? Да, там есть и бесплатные билеты, но много и платных. Людей с улицы, пришедших за шариками и пакетиками там нет. Но ходят и платят. А за деньги и контент может быть гораздо более качественный - как за счет иностранных спикеров, так и за счет проработки темы и создания шоу отечественными выступающими.

Не первый раз в узком кругу возникает мысль, что мероприятия по ИБ в их текущем варианте, сходят на нет и постепенно перестанут собирать аудиторию. Выставки тем более. Организаторам пора придумать что-то другое, чем простая аренда необорудованных залов с последующим исключением себя из процесса управления мероприятием...

24.9.13

О пальчиковой истерии

Вообще, истерии последних месяцев, связанные с тематикой информационной безопасности, удивляют. То, все начинают удивляться откровениям Сноудена. Мол как это так, спецслужбы контролируют коммуникации других государств?! Ну так на то они и спецслужбы - работа у них такая. Что ФСБ лучше что ли? Да они такие же - только ресурсов поменьше и за пределы России  пока мало выходят (а может мы просто многого не знаем). Вот возьмем к примеру июльские новости по делу "Врублевский против Аэрофлота". Представитель ЦИБ ФСБ заявляет, что "У нас есть оперативно-техническое управление, которое может в ускоренном порядке, без санкции суда получить информацию от провайдера о каком-либо IP-адресе. После чего мы просим сохранить провайдера данную информацию и затем оформляем соответствующий запрос в официальном порядке". Ни у кого даже не возникло желания спрашивать по поводу конституционных прав на тайну переписки :-) Про неконституционное Постановление Правительства от 27 августа 2005 года №538 и вспоминать не хочется... Но про то "как у нас" все молчат :-)

А вот про закупку ФСО пишущих машинок написали опять все. И эксперты тут же стали комментировать это событие, связав его почему-то со Сноуденом? А связь разве есть? Кто сказал, что размещение информации о тендере ПОСЛЕ новостей о Сноудене, означает ВСЛЕДСТВИЕ? Почему ФСО не могла просто заказать печатные машинки? Ну кто всерьез (кроме некоторых журналистов) может рассматривать ситуацию с возвратом в каменный век и отказом от компьютеров? Это же смешно. Но зато горячая новость не сходила с Web-страниц несколько дней. Еще бы вспомнили закупку одной из в/ч ФСБ партии ледорубов :-)

Что там у нас еще было? А, взлом системы TouchID на новых iPhone. Ошеломительная новость, которую перепечатывают все. Ну взломали и что? Кто вообще говорил, что это функция защиты? На сайте Apple четко написано, что она сделана для УДОБСТВА пользователей, которые по несколько раз в день вынуждены вводить свой ПИН-код, теряя на это время. Не хотите вводить - используйте TouchID. Хотите остаться на старом ПИН-коде? Так разве кто-то мешает? Но панику-то чего наводить? Не первый раз кто-то что-то взломал и не последний. Но истерить-то зачем?

Вот нет, чтобы тему ИБ на Олимпиаде поднять... :-)

Как расейский сайт государев защитить от супостатов заморских?!

На прошедшей DLP Russia я в очередной раз говорил о законодательстве в области информационной безопасности, а точнее о тенденциях его развития. Тогда я высказал мысль, что раньше безопасники жаловались, что у нас очень неадекватные и неактуальные документы и жить по ним нельзя. А сейчас ситуация ровно обратная - документов с требованиями выходит столько, что впору уже прекращать работу этого принтера и начинать разбираться с уже выпущенными нормативными документами. Масла в огонь подливается огромным количеством регуляторов, которые так и норовят выпустить в свет очередное свое творение и застолбить себе имя в истории. И дело не столько в ФСТЭК, ФСБ или ЦБ (с ними нормально удается сосуществовать), сколько в других регуляторах, которые вдруг выплеснут ни с того, ни с сего обязательный нормативный документ, которые залезает на чужую поляну и мало что не учитывает уже разработанных требований, так еще и конфликтует с другими.

Вот возьмем к примеру наше Правительство, которое через ФМС России, разработало Концепцию введения удостоверения личности гражданина Российской Федерации в виде пластиковой карты в качестве основного документа, удостоверяющего личность. Ну почему нельзя было в разделе по информационной безопасности этой концепции просто написать, что требования по ИБ должны соответствовать правовым актам ФСТЭК в области защиты персональных данных? Нет, надо изголяться и надергивать требования из разных документов. Зачем? Чтобы в очередной раз убедились, что на этом пластике будет работать сертифицированная в ФСБ криптография? Или что разработчики из ФМС и Правительства мало знакомы с российским законодательством, если позволяют себе использовать термин "отраслевой стандарт"? Вот зачем?

А еще случай хотите? Возьмем к примеру такую простую сущность, как сайт государственного органа, размещенный в государственном сегменте сети Интернет. И представим, что надо его защитить от супостатов заморских, так и норовящих открытые данные с этого сайта украсть, а админов его в полон забрать. Какие требования могут распространяться на такой сайт?

На первый взгляд все просто - есть приказ ФСТЭК №17 (почти как Балтика №9), который, распространяясь на все государевы информационные системы, должен и покрывать сайт как бык корову. Ан нет, и другие желающие найдутся. Во-первых, Минкомсвязь с его 149-м приказом от 27.06.2013. Новехонький такой приказ. Называется "Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети "Интернет" в форме открытых данных, а также для обеспечения ее использования". И там есть, как ни странно, раздел по защите информации. Странно потому, что у Минкомсвязи свое понимание защиты информации. Оно неплохое и нехорошее, оно свое. И оно плохо сочетается с требованиями ФСТЭК и ФСБ.

А еще у Минкомсвязи есть приказ №104 от 25.08.2009. Называется он - "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования" и разработан он в целях реализации пункта 2 постановления Правительства Российской Федерации от 18 мая 2009 года N 424 "Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям". Парадокс, но во исполнении этого же Постановления (только пункта 3, посвященного защите информации) нашими традиционными регуляторами ФСТЭК и ФСБ на двоих разработан в 2010-м году совместный приказ от 31.08.2010 №416/489. Спрашивается и в чем разница между информационной безопасностью во 2-м пункте и защитой информацией в 3-м?..

А есть еще приказ Минэкономразвития (ну эти-то куда суются) №470 от 16.11.2009 "О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти". И там... фанфары... тоже есть раздел про защиту информации. Вы думали это все? Нет, это еще не все..

Напоследок добавлю полено (или поленом) от ФСО, которая 07.08.2009 выпустила приказ №487 "Об утверждении Положения о сегменте информационно-телекоммуникационной сети "Интернет" для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации". Если сайт размещается в этом сегменте, то будьте добры соответствовать еще и требованиям Федеральной службы охраны.

Стоп-стоп-стоп... Не все это, судари и сударыни. У нас же еще есть Верховный Главнокомандующий, который в 2008-м году разродился указом 351-м от 17-го марта "О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена". В нем тоже немало про возможность передачи государственной информационной собственности по сети Интернет и особенно за пределы Российской Федерации, а точнее про запрет такой передачи (это в Интернет-то).

Ну теперь-то все? Похоже, что да. С требованиями по защите все, исключая, быть может, ФСБшные требования по защите персональных данных. Но они пока не вышли. Подытожим. У нас есть 7 нормативных актов, устанавливающих разные требования по защите информации к сайтам государственных органов, размещаемых в сети Интернет. Авторами этих нормативных актов являются 5 органов государственной власти (ФСТЭК, ФСБ, Минкомсвязь, Минэкономразвития и ФСО) и один Президент. Немного ли для одного простенького сайта?

Может все-таки вернуться к идее единого госоргана по вопросам информационной безопасности? Не такая уж и глупая идея...

20.9.13

Моя презентация с DLP Russia 2013

Сегодня проходит замечательное мероприятие - DLP Russia 2013, на пленарном заседании которого я рассказывал об основных тенденциях в области законодательного регулирования защиты данных. Этой теме я посвятил уже немало презентаций и регулярно их выкладываю, поэтому я постарался не сильно повторяться. А учитывая выделенное мне время на пленарном заседании, я много и не смог включить в презентацию. Но основные направления она показывают верно :-)


19.9.13

Суровые челябинские презентации. №3 - защищенный ЦОД

И, наконец, третья презентация из Челябинска. На этот раз про защищенные ЦОДы.


Суровые челябинские презентации. №1 - тенденции и прогнозы

В программе "Кода информационной безопасности" в Челябинске я заявлен аж три раза и поэтому сегодняшний день в блоге будет посвящен постепенному выкладыванию презентаций с моих выступлений. Первая касается прогнозов и тенденций российского рынка ИБ. Не могу сказать, что я открыл Америку, но думаю будет полезно для понимания того, что влияет уже сейчас или будет влиять в самом ближайшем будущем на отрасль ИБ.


18.9.13

Почему пароль должен показываться звездочками?

Продолжаю раскрывать впечатления от Инфоберега. На пленарном заседании выступал советник министра связи и массовых коммуникаций Дмитрий Сатин. Очень интересное выступление. Интересное по следующим причинам. Во-первых, он говорил живо, не по бумажке. Да и одет был неформально, что располагало к себе.

Во-вторых, Сатин сразу заявил, что он гуманитарий и будет говорить про информационную безопасность именно с этой позиции. И тут он выдал... Первый приведенный им пример. Губернаторы часто пишут в Минкомсвязь и жалуются лично министру (видимо, про существование ФСТЭК они не знают) гневные письма о том, что им сложно вводить пароль в различные государственные информационные системы, т.к. он отображается звездочками!!! Чтобы быть ближе к аудитории он сразу привел смежный пример. Вот, представьте, что вы получаете одноразовый код для доступа к ДБО по SMS. Получаете вы его в открытом виде? Да. Так зачем в интерфейсе ДБО его вводить звездочками? Особенно в тех случаях, когда ДБО у вас мобильная и SMS вы получаете на этот же смартфон? Неожиданный вопрос :-)

Дальше больше. Второй пример Сатина касался нашего премьер-министра, который при очередном посещении какой-то поликлиники для изучения опыта электронной регистрации на прием к врачу высказал претензию, что CAPTCHA, используемая для отсечения ботов-мошенников, которые будут регистрироваться, а потом продавать места в электронных очередях, слишком неудобна и от нее надо отказаться.

Оба примера очень неплохо иллюстрируют отношение властей к информационной безопасности. Во-первых, полное непонимание ИБ, а точнее понимание со своей позиции, отличной от принятой у безопасников. Во-вторых, становится понятно отношение Минкомсвязи к безопасности. Я все удивлялся, почем после прихода Никифорова был сокращен отдел ИБ? Почему министр полностью игнорирует все запросы по теме ИБ? Почему в концепции развития отрасли до 2018-го года тема ИБ вообще не звучит? Почему при обсуждении даже связанных с ИБ тем (госуслуги, электронных платежи, УЦ и т.п.) о теме ИБ все равно все молчат? А теперь стало понятно - для молодого министра и его команды тема ИБ - это бельмо на глазу. Она МЕШАЕТ. Мешает развитию ИТ, мешает развитию отрасли, мешает внедрению новых сервисов и услуг...

Но была и еще одна часть в выступлении Сатина, которая мне понравилась. Касалась она эргономики ИБ (usability). Мне эта тема хорошо знакома - я про нее писал неоднократно. И вот тут Дмитрий Сатин вступил на знакомые ему рельсы, т.к. он в последнее время регулярно говорил об удобстве использования... Правда не ИБ, а сайтов госструктур. Но это темы близкие и поэтому советник министра достаточно неплохо описал, каким требованиям должна удовлетворять система ИБ и какими метриками оценивать ее не с точки зрения традиционной, ИБшной, не с точки зрения финансовой, а с точки зрения пользовательской - "удобно или неудобно". В качестве примера документа, описывающего возможные требования к системе ИБ с точки зрения именно удобства Дмитрий Сатин привел ГОСТ Р ИСО 9241-11 "Эргономические требования к проведению офисных работ с использованием видеодисплейных терминалов (VDT). Часть 11. Руководство по обеспечению пригодности использования". Не смотрите на то, что этот ГОСТ ориентирован на дисплеи - важна общая идея.

А сам ГОСТ очень неплох с концептуальной точки зрения. Он описывает пошаговую процедуру разработки удобного в использовании интерфейса. Удобного, значит пользователи не будут его обходить или "сносить" всеми правдами и неправдами. ГОСТ Р ИСО 9241-11 говорит, что прежде чем что-то делать ответьте на следующие вопросы:

  • кто ваш пользователь?
  • каковы его задачи?
  • как он будет пользоваться вашей системой?
  • в какой среде он будет пользоваться вашей системой?
Ответив на эти вопросы можно сформировать список требований к интерфейсам и список возможных ограничений, что уже является залогом половины успеха. А оценивать удобство ГОСТ предлагает по 3-м критериям - эффективность, результативность и удовлетворенность пользователя.

Посмотрите на этот стандарт. Он небольшой - всего 28 страниц (из них 15 - приложения) и изобилует множеством практических примеров. Я думаю, он будет полезен не только разработчикам средств и систем защиты, но и тем, кто их внедряет или проводить аудиты. Все-таки человек - самое слабое звено в ИБ и знать, почему он обходит СЗИ или делает ошибки, приводящие к инцидентам, полезно.

17.9.13

Прогноз: хакеры-геи атакуют Олимпиаду в Сочи

До Олимпиады в Сочи осталось 143 дня. Не много и не мало. Вчера я уже писал, что прошедший ИнфоБЕРЕГ для меня был знаковым. По сути до этого момента я особо не задумывался о том, как будет обеспечиваться информационная безопасность зимних Олимпийских Игр. Потом я стал изучать опыт Cisco, которая была партнером Лондонской Олимпиады и строила для нее инфраструктуру, включая и ее защиту. И оказалось, что Олимпиада - это очень интересный с точки зрения защиты объект. И по используемым новейшим информационным технологиям, и по массовости, и по временной сжатости. На Инфобереге я вкратце поднимал эту тему:




Но уже после выступления у меня была возможность и просто подумать, и с коллегами пообщаться, чтобы возник ряд вопросов и замечаний к тому, что и как делается или будет делаться у нас. Первый вопрос я уже поднимал в пятницу - касается он координации усилий по реагированию на инциденты. Иными словами, как будет осуществляться это самое реагирование, кому надо перенаправлять запросы при их поступлении, какова процедура эскалации и т.п. Допустим, в Интернете обнаружен фишинговый сайт по продаже билетов на соревнования. Писать в БСТМ или ЦИБ? А если в результате атаки выведена из строя система освещения церемонии открытия Олимпиады (такая угроза была в Лондоне, но к счастью так и не реализовалась), то кто должен реагировать первым? ФСБ или МЧС или МинЭнерго? Кстати, тут есть и вторичный вопрос - Олимпиада - это критически важный объект или нет?

Второй вопрос связан с моделью угроз. Какие угрозы попали в финальный список? Ванкуверская пятерка или еще что-то? Тут есть одна тонкость. Именно зимние Олимпийские игры в Ванкувере были первыми, в которых вся инфраструктура была построена на базе единой IP-сети. Потом был Лондон и вот теперь Сочи. Т.е. впервые активное применение ИТ на Олимпиаде проявилось только 3 года назад и за это время был сделан большой скачок. Даже между Ванкувером и Лондоном. Даже если представить, что Сочи по оснащению будут не хуже Лондона, то модель угроз должна сильно отличаться, а если в Сочи уровень ИТ-проникновения будет гораздо выше? А ведь есть еще и сугубо специфические "наши" угрозы. Например, кавказские, чеченские или черкесские хакеры. Последние, кстати, уже действовали в 2012-м году на олимпийских объектах.

А есть еще геи. Как не смешно это звучит (мы регулярно троллили эту тему в Сочи), но учитывая отношение России к геям и то, как весь мир относится к тому, как к ним относится Россия, достаточно легко предположить, что под этим соусом хактивисты будут вербовать в свои ряды новых апологетов. А если представить невозможное - хакер-гей, которого взяли за его прямым делом и скрутили наши доблестные стражи порядка так, как они это делали на Болотной... Шуму не оберешься. Прогрессивная Европа и демократическая Америка будут активно эту тему использовать, чтобы утереть нам нос.

Вообще с угрозами ИБ на любой Олимпиаде ситуация отличная от обычного предприятия. Для них основной критерий, отделяющий мелочь от серьезных проблем, - сила удара по репутации. Вот возьмем фишинговый сайт, крадущий данные кредитных карт. Серьезно? Для Олимпиады нет. А вот фальшивая СМСка посетителям соревнований по бобслею, в результате которой все вдруг ломанутся со спортивного объекта, - это уже серьезнее. Или отключение электричества в горном или прибрежном кластере Сочи (хотя в Сочи и так регулярно отключают)? Вот тут репутационные риски более чем серьезные. Причем серьезные как для России (тогда в мире перестанут рассматривать нас как серьезного партнера для проведения крупных международных мероприятий), так и для Президента в частности (для него Олимпиада в Сочи - это личный репутационный проект).

Правда, в Сочи ситуация немного иная. Судя по последним новостям наши спецслужбы, оперативные штабы и иные ответственные лица занимаются более приоритетными делами - антитеррористической защищенностью, что обусловлено близостью кавказских и закавказских республик, с которыми у нас непростые отношения в последнее время. Тут не до ИБ, к сожалению. С другой стороны и тем, кто может захотеть напакостить, гораздо проще пойти по "традиционному" пути, а не через киберпространство. И это играет России на руку. Правда, мне все-таки кажется, что тема кибербезопасности олимпийских объектов у нас незаслуженно обходится вниманием и ею пренебрегают, считая мелкой и несерьезной.

В любом случае время покажет. Единственное, что хочется заметить, что все меняется. Даже за три года с Ванкуверской Олимпиады применение ИТ сильно продвинулось вперед и опираться на прошлые знания было бы не совсем правильно. Как и безоглядно применять чужой опыт тоже не стоит.

ЗЫ. Есть и еще ряд вопросов, которые, как мне кажется, являются риторическими. Как, например, будет соблюдаться ФЗ-152 о персональных данных? Как в Казани на Универсиаде? Как на сайте РЖД? Как написано в Европейской Конвенции? А будут ли проверки?

16.9.13

Триптих о небезопасности облаков в России завершен

Вот и закончился очередной ИнфоБЕРЕГ. Академии информационных систем из года в год удается в непростой ситуации (море, солнце, +27, all inclusive) собирать отличную конференцию с интересными докладчиками и темами. В этом году она прошла (как минимум для меня) под знаком информационной безопасности Олимпийских Игр, о чем я буду писать позже. А пока выложу свою вторую сделанную там презентацию с тенденциозным названием: "Почему в России нельзя обеспечить безопасность облачных вычислений".



Правда трилогию я начал с последней ее части и ровно год назад, на ИнфоБЕРЕГе я рассказывал о том, как защитить облако. Пару недель назад, во второй части трилогии, представленной на конференции CloudsNN, я рассмотрел чеклист по безопасности при выборе облачного провайдера. Этот же чеклист лег в основу статьи для журнала "ИТ-Менеджер" "Как облачные провайдеры обманывают своих клиентов". И, наконец, третья часть триптиха, с которой, по идее и надо было его начинать, посвящена теме невозможности вообще защитить облака. Наверное поэтому многие западные компании или их представительства, приходя в Россию, так и не могут найти ничего адекватного своим запросам :-(

13.9.13

Кто крайний или когда в России появится единый госорган по кибербезопасности?

Находясь на ИнфоБЕРЕГе я в очередной раз задумался о том, что в России очень не хватает единого органа, который бы занимался вопросами информационной безопасности во всех ее проявлениях и для различных заинтересованных лиц. Эту тему я в шутку поднимал в 2011-м году и вот на конференции эта тема всплыла сразу с нескольких сторон.

Началось все после моей заметки о необходимости направления уведомления с результатами проведения очередной самооценки соответствия СТО БР ИБС регуляторам. Вроде бы в 2010-м году процедура была прописана, отработана и в первое время она не давала сбоев. В 2011-м году вышла новая редакция ФЗ-152. В 2012-м вышло новое ПП-1119, которое отменило ПП-781 с его требованием по классификации ИСПДн. В 2013-м вышли новые требования по защите персональных данных от ФСТЭК. А "письмо шести" и сам СТО БР ИББС пока остаются неизменными (сейчас готовится новая версия СТО, но пока без обновления раздела по ПДн). И помимо непонятной ситуации с тем, выполнять СТО БР ИББС или остальное законодательство по ПДн, сейчас возникла ситуация с взаимодействием регуляторов по вопросам ИБ.

Если вспомнить, то разъяснение ЦБ гласило, что результаты самооценки направлять в ГУБЗИ, а оно само уже перенаправить их в ФСТЭК, ФСБ и РКН. Но сейчас эта схема дает сбой. ГУБЗИ направляет всех в центральную экспедицию. Оттуда направляют в другом направлении :-( А в ФСТЭК и ФСБ надо писать теперь самостоятельно.

Другой пример, который с коллегами обсуждался в кулуарах на ИнфоБЕРЕГе. Допустим, фиксируется мощная DDoS-атака на какой-либо крупного оператора связи. Это может быть Мегафон, Ростелеком, МТС. Вымпелком и т.п. Куда обращаться в этом случае? В Минкомсвязь? В Роскомнадзор? В БСТМ МВД? А может в ЦИБ ФСБ? А может в 8-й Центр ФСБ? А может в Минобороны? Ведь такая атака может быть организована как киберпреступниками (и тогда эта тема МВД), так и кибертеррористами (и тогда это тема ФСБ). А может и вовсе быть началом кибервойны и тогда это епархия Минобороны. Есть ли у нас четкие критерии принятия решения и четкая пошаговая процедура действий? Я о такой не слышал.

Или другой пример, который возник в результате подготовки презентации по информационной безопасности Олимпиады в Лондоне. Кто должен отвечать за ее защиту и реагирование на инциденты ИБ? МВБ, ФСБ? А если ФСБ, то 8-ка или ЦИБ? Вот как, например, выглядела схема взаимодействия различных спецслужб по вопросам кибербезопасности на Олимпиаде в канадском Ванкувере.


8 заинтересованных сторон. В условиях, когда счет идет на минуты, такая сложная схема взаимодействия ("перекладывания ответственности") может привести к печальным последствиям. Здесь старые регламенты 60-70-х годов, когда на реакцию отводились сутки или даже недели, не сработает. Это при атаке на обычный объект защиты в обычное время можно раскачиваться и долго решать, кто и как будет реагировать. В случае с Олимпиадой, которая проходит в сжатые сроки, реакция должна быть совсем другой. Все-таки репутационные риски от атак на рядовое предприятие или даже администрацию города и на событие, которое определяет, можно ли и дальше в России проводить крупные международные мероприятия, - это две больших разницы.

А вот еще один канадский пример - схема взаимодействия заинтересованных в кибербезопасности сторон на разном уровне (федеральном, региональном и муниципальном) при проведении в Канаде одной из встреч "стран двадцатки" (G20). Я не буду раскрывать, что значат эти аббревиатуры - сейчас это не так важно. Тут, главное, увидеть сложную схему взаимодействия и большое количество "ответственных".


Аналогичная мысль у меня возникла, когда я читал законопроект ФСБ по безопасности критически важных объектов. В нем также не было определено единого органа по защите КВО. Но главное, что не было описано и процедуры взаимодействия разных участников этого процесса - ФСБ, ФСТЭК, Минэнерго, Росатом, МЧС и т.д.

Ждем чрезвычайной ситуации, чтобы на практике понять, что надо что-то делать? Я думаю, что через 147 дней, когда начнется Олимпиада, у нас будет шанс в реальности понять, как взаимодействуют разные спецслужбы в киберпространстве. Может стоит помоделировать разные сценарии развития событий, не дожидаясь часа "Х"?.. 

11.9.13

IPS мертвы или их просто недостаточно?

Помните ли вы, что в 2003-м году многие аналитики и журналисты активно публиковали материалы с заголовками "системы обнаружения атак мертвы". И проблемы с IDS уже тогда были достаточно понятны и очевидны - ложные срабатывания и необнаружения реальных атак. Но шумиха шумихой, красивые названия красивыми названиями, а проблема реально существовала и существует, но относилась она не к системам обнаружения атак - это проблема управления и визуализации данных, получаемых средствами безопасности. Именно тогда стали появляться первые SIEM-решения, которые и взяли на себя непростую задачу по отсеиванию из миллионов событий безопасности того, что могло заинтересовать службы ИБ. Но вернемся к IDS.

Давайте вспомним, где традиционно ставится система обнаружения вторжений? Преимущественно на периметре корпоративной или ведомственной сети. Потому что там проще контролировать входящий трафик и там нет проблем с доступом к трафику. Внутри локальной сети внедрение IDS превращается в шаманство. Либо вы должны использовать коммутаторы с модулями IPS (а такой вендор в мире всего один), либо пытаться перенаправить трафик с нескольких портов коммутатора на порт, к которому и подключен сенсор IPS. Но тут возникают сложности - и порт этот может быть занят, и трафик коммутируется не весь, и производительности сенсора не хватает, и сетевики не дают снизить производительность коммутатора за счет перенаправления всего трафика на IPS. А если еще вспомнить про способы обхода IDS/IPS, то становится понятно, что одних систем предотвращения вторжений явно не хватает для эффективного решения контроля трафика на предмет поиска в нем вредоносного кода.



Чем можно расширить защитные свойства IPS? Ну очевидно - межсетевые экраны, сетевые антивирусы, системы контентной фильтрации... Это распространенные защитные стратегии, которым следуют многие компании и предприятия.


Но достаточно ли их? Очевидно, что сигнатурные методы, а большинство современных средств защиты (что бы производители не говорили об эвристических механизмах) все-таки не спасают от многих угроз. По крайней мере в реальном масштабе времени. Да, 95% всех атак происходит из-за известных дыр, знанием о которых средства защиты оснащены. Но ведь остаются еще 5%. Они и составляют сегодня основную угрозы. По данным разных компаний рост целенаправленных (или как говорят апологеты "русского" языка - таргетированных) атак составляет от 35 до 50 процентов за прошедший год. Это большие цифры. Атаки перестают быть массовыми. Их сложно становится ловить с помощью традиционным подходов. Ловушки, обманные системы тут не срабатывают. Ведь они ставятся в местах массового протекания трафика (так действуют многие антивирусные компании) и, следовательно, пропускают целенаправленные атаки, разработанные под конкретную жертву. Потом, может быть, антивирусный вендор узнает об этой угрозе, но может пройти и год и два, прежде чем наступит это радостное событие. Достаточно вспомнить Stuxnet, Duqu, Flame, чтобы понять, что это правда.


Значит ли это, что традиционные сигнатурные подходы и средства, их реализующие, мы должны выбросить на помойку? Конечно нет. Свою задачу они решают и решают неплохо. Но только свою. Они являются необходимым, но уже явно недостаточным условием для построения эффективной защиты. Новым решением, устраняющим зияющие пробелы в системе защиты, могут стать системы сетевого поведенческого анализа (network-based behavior monitorig/analysis или network-based anomaly detection).


Их идея проста. Что объединяет всех? Пользователей, разные устройства, разные ОС, разные приложения... Сеть! Именно по ней передается трафик, который мы и должны контролировать. Но с точки зрения поиска узких мест в сети, источников широковещательного трафика, точек потери пакетов и т.п., а с точки зрения получения доступа к такому набору информации, который позволяет ответить нам на множество насущных вопросов, важных для борьбы с внутренней угрозой (с внешней мы научились худо-бедно бороться).


В чем преимущество такого решения? Оно видит все - на него передается информация по протоколу NetFlow (или sFlow) с любого сетевого устройства - коммутатора, включая виртуального, маршрутизатора, включая облачного, и т.п. И средства защиты ему могут передавать такую информацию (например, есть межсетевые экраны, отдающие статистику по NetFlow). И даже приложения и виртуальные сервера - они тоже могут. Иными словами решения по анализу сетевого трафика могут служить его коллекторами. Но чем тогда такой коллектор отличается от IPS? Не только объемом собранной информации.



Такие решения обычно оснащены аналитическими инструментами, позволяющими на основании собранной информации и разработанных (или встроенных) правил принимать решения о том или ином нарушении политики безопасности. Вот как, например, может выглядеть передача большого объема данных, что может быть как примером утечки, так и примером закачки пиратского контента (поняв направление передачи, можно сделать более точный вывод).


А вот так может выглядеть та же картинка, но с добавлением информации о пользователе корпоративной сети и используемом им устройстве. Т.е. мы к контенту добавляем контекст, о котором я уже писал.


Но и традиционные задачи решения по анализу сетевого трафика также могут решать. Например, обнаруживать DDoS-атаки.


Или просто ответить на вопрос: "Какими приложениями чаще всего пользуются работники и служащие?" Например, применяются ли пиринговые приложения для обхода традиционных защитных средств?


Ну и конечно, как и у любого корпоративного продукта, информацию и аналитику можно получать по разным срезам и за разные интервалы времени.



Если подытожить, то что дают такие решения для безопасников помимо описанных выше преимуществ? Ну, во-первых, эти решения можно использовать совместно с айтишниками (и наоборот). Собираемые исходные данные одни и те же - сетевой трафик. Во-вторых, эти решения идеально подходят в тех случаях, когда периметр сети размывается и сложно найти одну-две точки, куда и можно воткнуть межсетевой экран с системой предотвращения вторжений. Системам сетевого анализа все равно откуда идет трафик - если он проходит через коммутатор или маршрутизатор, сведения о нем по NetFlow можно перенаправить куда угодно и там проанализировать. В условиях активного размывания границ периметра, перехода на корпоративную мобильность, обращения к аутсорсингу ЦОДов и облачным вычислениям это становится более чем актуально. В-третьих, эти решения эффективно функционируют и в виртуальных средах, для которых средств защиты пока не так и много. И наконец, эти средства не относятся к средствам защиты информации, а следовательно не подлежат обязательной сертификации. Пустячок, а приятно и иногда облегчает жизнь.

Не пытайтесь навешивать на свою сеть все что ни попадя. Это не всегда решает проблем с безопасностью, а иногда и ухудшает ситуацию, создавая иллюзию защищенности. Не забывайте использовать то, что у вас всегда под рукой - вашу сетевую инфраструктуру.

10.9.13

Регуляторы помнят, а вы?...

Хотелось бы вернуться на 3 года назад, в далекий 2010-й год и вспомнить историю с "письмом шести", подписанным тремя регуляторами в области защиты прав субъектов ПДн и самих ПДн (ФСТЭК, ФСБ и РКН), ЦБ, АРБ и АРБР. В этом письме банкам рекомендовалось принять комплекс документов СТО БР ИББС, согласованный всеми регуляторами и позволяющий "уйти" из под требований ФСТЭК, ФСБ и РКН и получить единый набор требований по защите разных видов конфиденциальной информации, обрабатываемых в банке. В 2012-м году вышла новая редакция этого письма.

В 6-м пункте порядка работы по принятию СТО БР ИББС, описанном в "письме шести" был и такой фрагмент: "По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и Регуляторам один раз в три года".

И вот тут впору вспомнить, что три года у нас заканчивается (если вы отправили уведомление в ЦБ 31 августа 2010 года) совсем скоро - 31 декабря 2013 года, т.е. через 3 с небольшим месяца. И ведь регуляторы (как минимум ФСТЭК и ФСБ) помнят об этом уведомлении и ждут его. А вы помните? 

9.9.13

Круглый стол в РИА "Новости"

Сегодня я выступал в РИА "Новости" на круглом столе "Киберугрозы и их влияние на оффлайн". Вот запись:


Не могу сказать, что получилось очень уж живо, но в целом поставленные задачи были решены. А еще из выступлений на круглом столе понятны приоритеты государства в области регулирования вопросов информационной безопасности.

6.9.13

Результаты общественного обсуждения законопроекта по безопасности критически важных объектов

Про законопроект ФСБ по защите критически важных объектов я уже писал. Да и вообще по теме КВО я пишу регулярно - важная тема и интересная. Но вот внимание со стороны наших регуляторов к ней пока не настолько серьезное, как того хотелось бы. Да и международный опыт показывает, что спускать эту тему на тормозах не совсем правильно. Поэтому я возлагал большие надежды на то, что законопроект ФСБ станет серьезной вехой не только в области регулирования ИБ КВО, но и вообще в области регулирования ИБ в России. Ведь по сути это первый законопроект по нашей тематике, который выложен на публичное обсуждение через единый портал раскрытия информации о подготовке федеральными органами исполнительной власти проектов нормативных правовых актов и результатах их общественного обсуждения. Но моим надеждам не суждено было сбыться ;-(

Начну с того, что в общественных обсуждениях приняло участие... всего 5 человек. Всего пять! Говорят про то, что регуляторы их не слышат и не слушают многие. Но почему-то никто не удосужился высказать свои замечания по законопроекту. Нечего сказать? Врядли. Не хотелось напрягаться? Вот это вполне вероятно. Не верили в результат? Тоже допускаю. И ассоциации (кроме РАЭК) тоже молчали. Особенно АРСИБ, которая должна была высказаться, т.к. в ее состав входят руководители служб ИБ многих критически важных объектов и в декларируемые задачи включена экспертиза нормативных актов и взаимодействий с регуляторами. Но АРСИБ опять промолчала.

Я всегда, на вопрос: "Когда у нас изменится ситуация в регулировании ИБ?", отвечаю: "Когда сменится поколение безопасников, вышедших из КГБ". Наверное это половина ответа. Похоже смениться должно не только поколение регуляторов, но и поколение тех, кто рос вместе с ними. Все привыкли молчать и плыть по течению. А что, удобно. Можно регулярно поливать регуляторов, рынок, законодателей, страну, всех... и ничего не делать. Удобная позиция. Как у политической оппозиции в нашей стране. Боюсь, что и на текущих выборах в губернаторы и мэры ситуация повторится - мало кто верит, что можно сменить действующую власть (или что она даст ее сменить). А раз так, то зачем напрягаться?

Но вернемся к законопроекту. Все предложения (а их немало) выложены в карточке законопроекта. Предложения, на мой взгляд, дельные. Но если не рассматривать чисто стилистические правки, то ни одного предложения учтено не было. Стандартных ответов было два - "Реализация данного предложения не является предметом законопроекта" и "[данный вопрос будет] определен в нормативных правовых актах, изданных во исполнение настоящего закона". Забавно, что сама ФСБ наступила ровно на те же грабли, которые привели к отказу от принятия законопроекта ФСТЭК в прошлом году. Ровно те же проблемы (нечеткость терминологии, отсутствие обоснований, невыполнимость по срокам, дополнительные обременения и т.д.) есть и в нынешнем законопроекте - я на это и указал, дословно переписав прошлогодние замечания Минэкономразвития. Эффект нулевой - "нецелесообразно". Я все больше склоняюсь к мысли, что задачей данного законопроекта было отсечь лишних от этой тем, чтобы потом заняться ей более плотно и без посторонних; при этом все регулирование осуществлять на уровне ведомственных приказов (как обычно засекреченных). Жаль...

До добра такая практика не доведет. Посчитать, что подготовка специалистов, трансграничная специфика, четкое определение объекта регулирования, определение критериев категорирования, учения, взаимодействие с другими федеральными законами (например, о безопасности ТЭК, о промышленной безопасности) не относятся к теме законопроекта и поэтому исключить их... Аукнется такое зарывание головы в песок. Причем судя по событиям последнего времени аукнется скоро. Может после этого кто-нибудь что-нибудь сделает? Главное не быть рядом с тем местом, где это произойдет.

3.9.13

Разъяснение Роскомндзора по биометрическим персональным данным: послевкусие

В выходные Роскомнадзор опубликовал свое видение того, что такое биометрические персональные данные. В работе над данным разъяснением принимали участие сотрудники Роскомнадзора, Михаил Емельянников, Александр Токаренко, Алексей Волков и ваш покорный слуга. Это второй документ, который родился в результате совместного творчества - первый был посвящен разъяснению обработки ПДн работников, сотрудников и служащих оператора ПДн.

Михаил Емельянников уже прошелся по этому документу, выделив его основные положения. Поэтому повторяться я не вижу смысла. Но т.к. Наташа Храмцовская раскритиковала наш скромный труд, то не могу не высказаться ;-) В форме тезисов.


  1. Роскомнадзор не наделен полномочиями по трактовке законодательства. Это странно, коль скоро он наделен полномочиями его проверять и, по идее, он должен знать, что проверяет. Но так уж у нас сложилось в государстве, что те, кто проверяет выполнение законодательства не может высказывать официальных и обязательных к применению мнений по данному вопросу. Поэтому не стоит и не стоило ждать какого-либо оформления данной позиции в виде официального документа с какими-то выходными данными. Если кого-то интересует официальное письмо с реквизитами, то пишите официальный запрос и вы получите текст разъяснения на бланке (могу предположить, что будет именно так).
  2. Разъяснение РКН не может быть использовано в суде, но от него этого и не требовалось. Задача данного разъяснения - указать операторам ПДн, в каком направлении двигаться, и указание территориальным органами, как трактовать понятие биометрических ПДн при проверках. Именно унификация позиций разных терорганов и помощь операторам было основной задачей формирования нашей рабочей группы.
  3. Закон не совершенен. Это аксиома. Поправить закон мы сейчас не в силах (хотя скажу, что в рабочей группе при Совете Федерации поправки в статью по биометрии вносились). Поэтому все, что делается на базе несовершенного нормативного акта будет по определению несовершенно. Но многие спорные моменты этим разъяснением сняты.
  4. По определению биометрических ПДн можно долго спорить. Но я (и мои коллеги) остаюсь на позиции, что биометрия становится таковой если соблюдается все ТРИ элемента определения из закона. И основное отличие последней редакции от предыдущей заключается именно в добавлении "на основании которых устанавливается личность субъекта". Т.е. установление личности является основным квалифицирующим признаком, чтобы ни говорилось. Нет установления - нет и биометрии. Персональные данные есть, а биометрии нет. А значит нет и необходимости получать письменное согласие субъекта. А значит многие Интернет-сервисы (те же соцсети) могут спать спокойно. Также хочу отметить, что изменение во времени статуса персональных данных (то ПДн, то не ПДн; то биометрия, то не биометрия) отмечалось еще рабочей группой ЦБ и АРБ при написании 4-й версии СТО БР ИББС (действующий на момент написания этого поста).
  5. Ссылка на судебные решения выглядит достаточно интересно, если не учитывать тот факт, что данное разъяснение и должно было исправить ситуацию, когда разные терорганы РКН по-разному трактуют ФЗ-152. И этого достичь удалось. Надеюсь что теперь таких судебных решений уже не будет, т.к. у РКН не будет оснований подавать иски по аналогичным случаям. Но... никто не дает гарантии, что та же прокуратура будет пользоваться аналогичными рассуждениями - это правоохранительный орган всегда отличался оригинальностью мышления.
  6. Исходя из предыдущих пунктов становится ясно, что и отменять уже вынесенные судебные дела никто не будет. Разъяснения РКН не носит характера закона, который имеет обратную силу в явной форме. Поэтому, кому не повезло, тому не повезло. Но с нынешнего момента должна наступить ясность хотя бы в одно спорном моменте по линии ПДн.
  7. Что касается предложения не заниматься словесной эквилибристикой и сосредоточиться на изменении закона и получении решений высших судебных инстанций. Полностью поддерживаю данное начинание и предлагаю Наталье последовать своему же совету ;-) Рабочие группы по изменению законодательства в области персональных данных создавалось уже немало (только я входил в 4 или 5 из них). Причем ни в одну из них не было закрыто доступа никому из тех, кто реально желал помочь общему делу. Сейчас такая группа создана при Минкомсвязи, завершила свою работу публичная (и туда мог прийти кто угодно) группа про Совете Федерации, планируются очередные Парламентские слушания по ФЗ-152... Вариантов внесения поправок в ФЗ-152 множество. Ну а про обращения в суд проблем вообще нет - любой желающий может обратиться в суд с целью защиты своих прав или признании того или иного нормативного акта незаконным или противоречащим международным договорам или Конституции или еще чему-нибудь. Никто препятствий чинить не станет. Было бы желание помогать, а не только критиковать ;-)
  8. Закрывает ли наше с РКН разъяснение тему биометрических ПДн? Нет. Мы включили в текст то, по чему пришли к консенсу. Спорные темы были целенаправлено исключены из документа. Да и объять необъятное нельзя. Очевидно, что остаются и будут появляться частные случаи обработки персональных данных, по которым сложно будет сделать однозначный вывод об их отнесению к разряду биометрических. Это так. Но процентов на 90 всех вопросов этот документ отвечает.

Хочу выразить отдельное спасибо Роскомнадзору и его ключевым сотрудникам - Шередину Роману Валерьевичу, с которым у нас и возникла идея этой рабочей группы и этих разъяснений, и Контемирову Юрию Евгеньевичу, который довел тему с биометрией до победного конца. Спасибо им, что они согласились на эту работу и не отмахнулись от идеи сотрудничества с экспертным сообществом. Я уже не раз это писал и хочу повторить, что за последние год произошел некоторый перелом в сознании регуляторов, которые не отмахиваются от экспертов и их мнения и готовы, если не разделить его, то хотя бы прислушаться, а местами и учесть в своей работе. Такой позитив наблюдается по нашей тематике в общении с РКН, с ЦБ, с ФСТЭК, с Минкомсвязью. С ФСБ пока нет двусторонней связи - остается надеяться, что эта ситуация будет исправлена.

2.9.13

Чеклист по безопасности облачного провайдера

В прошлую среду выступал на конференции CloudsNN 2013 в Нижнем Новгороде на тему "Что требовать от облачного провайдера с точки зрения информационной безопасности". Не стал изобретать велосипед и модифицировал уже однажды прочитанные в Сочи слайды по облачной безопасности, но с точки зрения потребителя. Презентация получилась не очень большой, но ключевые вопросы я в нее включил (хотя и не все успел рассказать на самом мероприятии).


Чеклист по безопасности облачного провайдера from Alexey Lukatsky

Но на самом мероприятии я столкнулся с очень неожиданным отношением к этой теме со стороны облачных провайдеров. Потом тема стала развиваться в Facebook... В итоге некоторые провайдеры заявили, что безопасность облаков и соблюдение ФЗ-152 клиентам неинтересны, а посему и заниматься безопасностью облачных вычислений особого резона нет. Вывод странный,  но сейчас я его комментировать не буду. Будет отдельная статья, которую я опубликую в ближайшем "ИТ-Менеджере", в которой постараюсь развенчать это заблуждение.