30.5.14

Свобода выбора защитных мер - это зло

После выхода приказа ФСТЭК №17 прошло уже больше года. Еще больше времени прошло с момента выхода 21-го приказа ФСТЭК по ПДн. Поделюсь только одним наблюдением, которое у меня сформировалось по результатам выступления на различных мероприятиях и после общения с целевой аудиторией, на которую распространяются эти приказы. Речь пойдет об алгоритме выбора защитных мер, а точнее о той свободе выбора, которая дается этим алгоритмом.

Ведь как было раньше, в СТР-К, в приказе №58 (а до него в четверокнижии по ПДн), в документах по КСИИ? Был жесткий набор требований, которые надо было выполнить в зависимости от класса автоматизированной системы. Жесткий. От и до. Шаг вправо, шаг влево были не предусмотрены. С одной стороны это вызывало нарекания по причине отсутствия гибкости в выборе защитных мер для различных объектов защиты. Очевидно же, что защитные меры для сервера, планшетного компьютера, ноутбука и смартфона будут различными. С другой стороны такая жесткость заставляла не думать, а просто делать то, что написано. Сказано, что нужно поставить антивирус и систему разграничения доступа, мобильные устройства запретить, а беспроводной доступ отключить, значит надо именно так и сделать. Все просто. К этой простоте все и привыкли. Шутка ли, эти неизменяемые списки требований в России приняты с 92-го года - больше 20-ти лет.

И вдруг ФСТЭК делает ход конем и дает своим подопечным свободу выбора. Критиковали за отсутствие свободы? Получайте. Хотели самостоятельно выбирать защитные меры? Вот вам, пожалуйста. Добивались возможности увязывать список защитных мер с технологией обработки данных, особенностями информационной системы и актуальными угрозами? Вперед, разрешаем.

И вот тут случился облом (я надеюсь временный). Отвыкли специалисты по защиты, нацеленные на выполнение нормативных документов ФСТЭК, от свободы принятия решения. Привыкли, что за них все решает регулятор. Но ладно бы потребители. Так и лицензиаты тоже отвыкли. Теперь же думать надо :-) Всем сторонам. Заказчик должен теперь самостоятельно определить актуальные для себя угрозы (раньше можно было к этому этапу подойти спустя рукава - список защитных мероприятий от угроз почти не зависел). А еще заказчик может сказать, что та или иная мера экономически нецелесообразна и защищаемая информация дешевле стоимости защитных мер. Мы настолько привыкли к прежнему подходу регулятора, что классический постулат "система защиты не должна стоить дороже защищаемой информации" нами воспринимался как нечто с другой планеты и неприменимое в России. Но сейчас ФСТЭК дала наконец-то возможность на практике реализовать эту аксиому. А заказчик боится. А вдруг я что-то не так сделаю? А вдруг я какую-то угрозу забуду включить в свою модель угроз? А вдруг регулятор не согласится с моим мнение о дороговизне средства защиты? А вдруг меня не аттестуют?

Органы по аттестации тоже не могут перестроиться на новые условия работы. Еще бы. Разработав типовые документы, можно было штамповать их направо и налево. А сейчас нет. Сейчас каждый заказчик уникален - у него своя модель угроз, своя информационная система, своя граница экономической целесообразности. В итоге система защиты на выходе тоже будет своя, уникальная, отличная от других. Это непривычно. Вот и происходят сплошь и рядом ситуации, когда заказчик поверив в добрую волю ФСТЭК сталкивается с неприятием со стороны лицензиата, или лицензиат, пытаясь предложить заказчику новый взгляд на систему защиты получает "это сложно, давайте по старинке".

А если вспомнить про компенсирующие меры, то ситуация становится и вовсе патовой. Раньше все было четко. Есть требование установки антивируса на объекте защиты?! Выполняй. А сейчас я могу посчитать, что это сделать либо нецелесообразно, либо дорого и попробовать заменить антивирус чем-то другим. Например, создав замкнутую программную среду с целью недопущения попадания чего-то постороннего и вредоносного. Или использовав технологию NAC (Network Admission Control), которая определяет наличие вредоносного кода при доступе к защищаемой сети. Или вовсе можно перенаправить весь входящий/исходящий трафик через корпоративный периметр и шлюз, который и будет проверять весь трафик на предмет вредоносности. Во всех этих случаях установка антивируса на компьютере или мобильном устройстве становится избыточной и ненужной. Но это приводит к увеличению числа степеней свободы. Если без компенсирующих мер у меня проблема только с изменяющимся числом защитных мер, то вводя компенсационные меры я сталкиваюсь не только с количественными изменениями системы защиты, но и качественными. Теперь заказчик должен обосновать замену одной меры другой, лицензиат должен с этим согласиться (и наоборот), а орган по аттестации подтвердить. Это ж какой взрыв мозга получается :-)

Буквально позавчера в Хабаровске на семинаре для органов исполнительной власти возникла именно такая ситуация. Например, один заказчик говорит, что ему проще выполнить СТР-К (для новой системы!) с его 26-тью требованиям и не напрягаться с гибкостью и свободой выбора 17-го приказа. В другом случае, заказчик хочет реализовать контроль целостности в виртуализированной среде с помощью компенсирующих мер, а орган по аттестации опасается, что у него местный ФСТЭК отзовет лицензию, если он такую замену согласует и выдаст аттестат.

Когда год назад предложенный ФСТЭК алгоритм выбора защитных мер только появился, я считал это замечательным достижением и подспорьем в деятельности многих специалистов по безопасности. Я и сейчас продолжаю так считать, но практика показывает, что не все готовы быстро перестраиваться под новые изменения. Кого-то устраивает прежняя ситуация. А учитывая отсутствие четкого ответа регулятора по поводу статуса СТР-К, неразберихи с термином "государственная информационная система" и продолжением существования РД на АС, 17-й приказ ФСТЭК внедряется не так быстро, как хотелось бы.

Решить эту задачу мог бы рост числа мероприятий, которое бы ФСТЭК проводило для своих территориальных управлений, где многие сотрудники живут по-прежнему в прошлом веке и не понимают нововведений в нормативную базу (или трактуют их по старому). И проведение регулярных мероприятий (особенно в формате вебинаров) для государственных и муниципальных учреждений тоже не помешало бы. Но самое главное - это проведение мероприятий для органов по аттестации и лицензиатов со стороны авторов 17-го приказа. Именно они должны начать повышение осведомленности на местах, а потом уже можно будет делегировать эту задачу территориальным управлениям ФСТЭК. Новые знания нужно проталкивать в массы - сами они не распространяются :-)

29.5.14

Google покупает Divide

19 мая небольшая американская компания Divide объявила, что ее купила Google. Да-да, именно так. Не Google объявил о приобретении Divide, а наоборот. Google хранит молчание до окончания сделки. Divide - это решение класса MDM, почти неизвестное в России, работающее по принципу создания на одном мобильном устройстве нескольких разделов - для личного и служебного использования. Детали сделки не разглашаются.

Впечатления от курса по стратегии ИБ АСУ ТП

На прошлой неделе я в Академии информационных систем прочитал новый курс по стратегии информационной безопасности критически важных объектов. Я хотя был не в роли слушателя, но все равно хочу поделиться впечатлениями :-)

Новых тем в области ИБ сейчас очень много. Актуальных тоже немало. Интересных поменьше. А вот востребованных аудиторией и имеющих практическую направленность очень мало. Возьмем к примеру законодательство. Тема хоть и не новая, но актуальная - у нас, зачастую, обеспечение ИБ заменяется на выполнение требований нормативных актов по ИБ. Это и не хорошо и не плохо. Так уж сложилось. Тема востребованная; особенно с учетом постоянно выходящей новой нормативной базы и бешеного депутатского принтера. Практическая направленность тоже имеется - правильно читать и обходить скользкие или узкие места законов и приказов тоже надо уметь, чтобы не погрязнуть в невыполнимых или слишком дорогих мероприятиях, мало влияющих на реальный уровень защищенности. Но вот интересного в этой теме мало :-( Скучновато, если честно.

Или возьмем тему безопасности мобильного банкинга. Интересно? Допускаю. Практическую ценность несет? Да. Актуально? Может стать актуальным по мере роста числа пользователей мобильного банкинга. А что с востребованностью? А ничего :-( Как самостоятельная тема мало кому нужная, в отличие от той же безопасности ДБО, куда мобильный банкинг может входить наряду с другими направлениями.

Безопасность индустриальных решений - совсем другое дело. Тот случай, когда погружение в новую тему, дает только положительные эмоции. Она нова, хотя системы управления технологическими процессами существуют уже несколько десятилетий. Она незаезженна и в ней еще много белых пятен, которые ждут своего исследователя. Она интересна, т.к. обеспечение ИБ АСУ ТП отличается от ИБ в корпоративной среде. На фоне публичных (например, Stuxnet) и не очень инцидентов, тема становится все актуальнее. Планируемое законодательство заставляет нас выполнять обязательные нормы, что делает эту тему еще и востребованной. Куда ни посмотри, тема на коне :-)

Поэтому хочу сказать спасибо АИСу (Юре Малинину и Игорю Елисееву), которые сподвигли меня на разработку этого курса. Идей-то витает полно, а вот сесть и сделать из идеи продукт, - это требует усилий. Но я его сделал. И он мне нравится, хотя идеальным я бы его пока не назвал. Например, курс по персональным данным практически идеален - он регулярно пополняется какими-то новыми нормативными актами и примерами, но в целом уже устоялся и отчитывается по накатанной теме на раз-два. К нему даже готовиться не надо - в любое время дня и ночи готов начать с любого раздела :-) Новый курс по государственным информационным системам пусть и не такой отработанный, но тоже не вызывает вопросов - в этой теме мало что необычного и требующего подробных изысканий. Есть ФЗ-149, есть куча нормативки ФСТЭК, ФСБ, Минкомсвязи, Минэкономразвития, ФСО. Остается только замешать этот коктейль и получить на выходе готовый материал.

Управление инцидентами или моделирование угроз гораздо интереснее. И, на мой взгляд, актуальнее для современного безопасника. Одна тема рассказывает как понять, с чем бороться. Вторая - как бороться с тем, что уже коснулось организации. Но не пошли эти темы :-( Управление инцидентами, как минимум. Моделирование угроз стало востребованным только недавно и то, потому что такое требование появилось на уровне законодательства. А управление инцидентами у нас пока мало где требуется - и с точки зрения законодательства, и с точки зрения бизнеса. Не привыкли мы еще к выстраиванию данного процесса ИБ; если и задумываемся о нем, то в контексте обращения к внешним компаниям (своих-то ресурсов нет).

А с ИБ АСУ ТП все оказалось не так. При разработке курса был драйв! Хотелось включить в материалы и эту тему, и эту, и эту. Но два дня - это всего два дня; всего 16 часов, которых не хватает для полного раскрытия многих тем даже "по верхам". А ведь изначально речь вообще шла об одном дне :-) Хорошо, что Юра с Игорем уговорили увеличить число часов. Про новизну отдельных тем и говорить не приходится. В рамках подготовки курса пришлось изучать как работает гидрошлюз, трубопровод, система водоснабжения или нефтедобычи, производство продуктов питания или алкогольных напитков. Число сценариев, в которых применяется АСУ ТП, безопасность которых надо обеспечивать, неимоверно велико.

Недооценка рисков при этом может обойтись очень серьезно. Это с персданными, которым у нас уделяют избыточно много внимания, все просто. Ущерба субъекту в большинстве случаев практически никакого. Штрафы копеечные. Нерешаемых вопросов почти нет. В АСУ ТП все не так. И угрозы на несколько порядков серьезнее, и ущерб не ограничивается только 10 тысячами рублей, а может измеряться человеческими жизнями или привести к экологической катастрофе. А подходы к защите только формируются. В этой теме практически нет готовых сценариев - все очень динамично. И это несмотря на то, что жизненный цикл защищаемого объекта превышает 10 лет и может составлять 20, 30 и даже 40 лет.

Поэтому после пилотного курса в АИС у меня уже сформировался определенный план по расширению и улучшению материала курса. Точно расширю раздел про применение АСУ ТП в различных отраслях с конкретными примерами. Если сейчас, в первой версии фокус делался на нефтегаз и электроэнергетику, то добавлю примеры АСУ ТП пищевой промышленности, транспорта и ЖКХ. Также расширю блок, связанный с игроками рынка и предлагаемыми ими решениями - поверхностного анализа, на мой взгляд, было недостаточно. Раздел нормативки тоже, видимо, расширю. Но за счет ГОСТов на АСУ ТП, которые местами тоже накладывают свой отпечаток на то, как надо строить систему защиты. Пример со СМИС и требованиями МЧС это явно демонстрирует. Как-то так :-)

28.5.14

Несчастный случай в Казани

Через неделю с небольшим в Казани начнет работу восьмой IT & Security Forum, организуемый ICL КПО ВС. Я про него уже писал неоднократно - отличное мероприятие с отличной организацией, с отличной культурной программой, с интересной программой. Правда, программа пока не опубликована, - находится в стадии формирования. Вообще это бич многих мероприятий по ИБ - до последнего момента не знаешь, что тебя ждет и стоит ли посещать конференцию. В данном случае могу сказать, что стоит. Сколько раз я не участвовал в казанском форуме - не пожалел ни разу.

В этом году, помимо участия от Cisco (а мы будем представлять ряд новинок по ИБ, анонсированных на прошлой неделе), у меня будет 4 доклада:
  • "Государственное регулирование ИБ в условиях геополитического напряжения". Пора снять обет молчания по теме санкций и их последствий для российских потребителей в контексте информационной безопасности. В пленарной секции буду говорить о том, чего стоит ждать от властей и регуляторов всех мастей, а также как это скажется на отечественных компаниях и куда стелить соломку, если все-таки наступит час "Х".
  • "От хаоса к архитектуре ИБ: как выстроить долгосрочную стратегию до 2020 года". Понятно, что на фоне всего, что происходит в стране и мире, говорить о долгосрочных стратегиях не приходится, но, как минимум, знать куда стремится вся отрасль ИБ и как учесть это движение в своей практической деятельности стоит. Об этом и пойдет речь в этом докладе.
  • "Защита облаков в условиях комбинирования частных и публичных облачных инфраструктур". В контексте готовящейся нормативки по облакам, как со стороны ФСТЭК или Банка России, так и со стороны Правительства, актуальным будет и этот доклад, в котором я попробую рассмотреть подходы по защите облачных вычислений при условии одновременного использования собственной и "чужой" инфраструктуры. Какие риски могут быть и как их нивелировать? Какие технологии позволят оперативно переключаться между своей и чужой облачной инфраструктурами и как учесть при таком переключении вопросы безопасности?
  • "Соотнесение требований по ИБ ФСТЭК для КСИИ и АСУ ТП". Тема защиты информации в АСУ ТП - еще один тренд в российской отрасли ИБ. Причем то, что сейчас происходит - это уже третий подход к снаряду. Первый был в далеком 2006-м году, когда сначала появился законопроект по безопасности критических инфраструктур, а потом ФСТЭК под него сделала набор документов по защите ключевых систем информационной инфраструктуры (КСИИ). Сейчас мы имеем дело с очередным документом ФСТЭК по этой тематике и у многих специалистов возникает вопрос, как соотносятся требования по защите информации в АСУ ТП и КСИИ? Этому и будет посвящен мой четвертый доклад.
Вот такая насыщенная программа :-)

ЗЫ. В прошлом году я выступал на IT & Security Forum с докладом про бизнес-модели в деятельности специалистов по ИБ и доклад про альтернативный курс ИБ для современного безопасника.

ЗЗЫ. А причем тут несчастный случай, вынесенный в заголовок? А притом, что на IT & Security Forum будет выступать группа "Несчастный случай"! Кто знаком с предыдущими форумами, знает, что ICL КПО ВС организовывает офигительную культурную (и спортивную) программу для участников мероприятия. Присоединяйтесь!

Информационная безопасность ядреных установок

На днях на семинаре у атомщиков выступал с рассказом про информационную безопасность ядерных объектов в прицеле новой нормативки ФСТЭК по защите АСУ ТП. Очевидно, что высокоуровневый приказ регулятора применим к практически любой АСУ ТП любой отрасли, включая и атомную энергетику. Но такая универсальность несет с собой и ряд отрицательных моментов, включая и отсутствие учета специфических деталей, присущих различным отраслям - транспорту, трубопроводам, водоснабжению, нефтепереработке и в т.ч. и атомным объектам.


Найти эту специфику, применительно к информационной безопасности, оказалось не так уж и сложно. МАГАТЭ еще в 2003-м году начала разработку соответствующего документа "Компьютерная безопасность на ядерных установках", который увидел свет в 2009-м году, а в 2012-м он был официально переведен и на русский язык.


Однако на этом МАГАТЭ не остановилась и, создав отдельную рабочую группу, стала разрабатывать и другие документы, более полно раскрывающие отдельные аспекты обеспечения информационной безопасности на ядерных установках.


Это и документы по обеспечению конфиденциальности и целостности информации, и по оценке защищенности, и по управлению инцидентами, и по расследованию киберугроз, и т.п. Часть из этих документов в виде проектов готовы, часть на подходе.


Почерпнуть специфику можно и в других местах. В частности "американский Росатом" в 2010-м году выпустил обязательный к исполнению документ по кибербезопасности атомных объектов. Он, по структуре, напоминает проект приказа ФСТЭК по защите АСУ ТП - общие подходы, каталог защитных мер, рекомендации по их выбору. Разница только в том, что в США еще и разъяснения по каждой мере даны, что у нас сделано в рамках отдельного методического документа по государственным информационным системам и не учитывает тех мер защиты, которые специфичны именно для АСУ ТП.


А вообще насколько актуальна тема кибератак на объекты атомной энергетики? Как ни странно, вполне актуальна. Еще в 2002-м году я писал про ряд инцидентов на таких объектах в разных странах мира, включая и Россию. Поэтому сбрасывать со счетов ни внутреннего, ни внешнего злоумышленника не стоит. Включение этой проблемы в модель угроз становится насущной необходимостью. Это понимают и в МАГАТЭ - последние 2-3 года активизировалось применения руководства по моделированию угроз МАГАТЭ в контексте информационной безопасности; многие страны стали включать киберугрозы в свои документы на национальном уровне


Выводы... А выводов не будет. Заметка носит информационный характер с целью обратить внимание заинтересованных лиц на данное направление, а также стать руководством к размышлению. Невозможность осуществления кибернападений на атомную энергетику - это миф, который был развенчан уже не раз.

26.5.14

Cisco покупает ThreatGRID

21 мая компания Cisco анонсировала приобретение американской компании ThreatGRID, занимающейся анализом и исследованиями динамических угроз. Приобретение продолжает курс, взятый компанией, в части расширения возможностей по автоматизации процесса обнаружения и блокирования целенаправленных угроз как в облаке, так и на стороне заказчика (on premise). Решение будет интегрировано со средствами борьбы с вредоносным кодом AMP (Advanced Malware Protection), появившимися в портфолио Cisco после приобретения компании Sourcefire. Детали сделки не разглашаются.

О внесении изменений в ПП-211 относительно вопросов обезличивания ПДн

Выпущенное чуть больше двух лет назад 211-е Постановление Правительства, установившее набор обязательных действий и документов, которые должны были сделать государственные и муниципальные организации для реализации закона о персональных данных содержало и такую меру, как обезличивание ПДн, которое могло помочь сильно снизить обременения на операторов ПДн, ведь обезличенные данные выпадают из под действия ФЗ-152 и подзаконных актов.

Однако формулировка ПП-211 была таковой, что обезличивание из меры, снижающей обременения, стала, наоборот, усиливать их, т.к. эта норма читалась как обязательная. Т.е. хотело государственное или муниципальное предприятие или не хотело, но обезличивать ПДн оно было обязано. Даже если ничего обезличивать и вовсе не надо было. Получалась парадоксальная вещь - вместо облегчения жизни госорганам и муниципалам ПП-211 жизнь им сильно осложнило. Для устранения этой проблемы Минкомсвязь разработало проект нового Постановления Правительства, вносящего изменения в ПП-211.

Как написано в пояснительной записке к этому проекту "осуществление процедуры обезличивания персональных данных может рассматриваться как один из методов обеспечения безопасности персональных данных при их обработке. В связи с чем, при рассмотрении вопроса о необходимости применения процедуры обезличивания персональных данных следует принимать во внимание весь комплекс мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ о персональных данных, в том числе, нормы статьи 19 ФЗ о персональных данных, устанавливающей требования по обеспечению безопасности персональных данных при их обработке, и нормативных правовых актов Российской Федерации, утвержденных в целях реализации указанной статьи.

Следует также иметь ввиду, что применение государственными и муниципальными органами обязательной процедуры обезличивания влечёт значительные финансовые, организационные, временные затраты, особенно при реализации такой процедуры в информационных системах персональных данных, созданных до вступления в силу постановления № 211. 

В связи с изложенным, учитывая выполнение оператором персональных данных, являющимся государственным или муниципальным органом, требований по обеспечению безопасности персональных данных, применение процедуры обезличивания персональных данных в информационных системах целесообразно применять в отдельных случаях, а именно:

  • установленных нормативными правовыми актами Российской Федерации (например, размещение органами государственной власти и местного самоуправления в открытом доступе документов, содержащих персональные данные, при условии невозможности определить принадлежность персональных данных, указанных в документах, конкретному субъекту персональных данных );
  • сложившихся в ходе практического применения норм ФЗ о персональных данных и постановления № 211 – перечень таких случаев необходимо установить на уровне акта уполномоченного органа по защите прав субъектов персональных данных.
Кроме того, нельзя прямо исключать возможность добровольного применения органами государственной власти и органами местного самоуправления процедур обезличивания персональных данных."

Так что ждем принятия этого полезного изменения.

20.5.14

Какие документы влияют на разивтие ИТ и ИБ в России?

Андрей Прозоров в своем блоге расписал основные документы, которые не его взгляд определяют развитие ИТ и ИБ в России. Я обещал ему прокомментировать его заметку, что и делаю. Сразу отмечу, что я не согласен с Андреем с его описанной "картиной мира". Это как раз тот редкий случай, когда сначала надо терминологически определить объект оценки, а уже потом проводить разбор полетов. В данном случае Андрей пошел по пути классического безопасника, посчитав, что ИБ - это набор мероприятий, определяющих защиту информации от каких-либо несанкционированных действий. Поэтому в списке Андрея документы, безусловно важные, но явно не единственные, устанавливающие путь развития в области ИБ.

Для меня, и как раз с этого я начинаю в курсе по законодательству, который читаю по программе CIO/CSO MBA в РАНХиГС, важно сначала определить объект правоотношений, а потом уже определять систему законодательства, его регулирующую. Так вот объектом является не ИБ, как таковая. Нет такого объекта. Есть различные срезы информационной безопасности:

  • Государственная тайна
  • Информация ограниченного доступа
  • Работы и услуги в области защиты информации (шифрования)
  • Операционные риски
  • Оценка соответствия средств защиты информации
  • Бесперебойность функционирования…
  • Защита информации (сама по себе)
  • Право на тайну (личной жизни, переписки, связи, телефонных переговоров и т.д.)
  • Виды деятельности субъектов
  • Средства защиты информации
  • Информационные системы.
Если посмотреть на картину с этой стороны, то окажется, что немаловажным и местами определяющим развитие будет тот же самый закон "О лицензировании отдельных видов деятельности". Или закон "О техническом регулировании". Или ФЗ "О персональных данных". Или, даже, Конституция РФ. Не поняв, какую область ИБ мы имеем виду, определить основополагающие нормативные документы достаточно сложно.

Рассматривая правоотношения, касающиеся ИБ, нельзя забывать и про субъектов этих правоотношений, которые также могут иметь свой взгляд на развитие ИБ (за ИТ не возьмусь судить). А какие субъекты правоотношений в области ИБ у нас могут быть? Как минимум:
  • Обладатель информации
  • Потребитель информации
  • Оператор информационной системы
  • Владелец сайта в сети "Интернет"
  • Провайдер хостинга
  • Разработчик ИТ и средств защиты информации
  • Поставщик средств/услуг защиты информации.
Очевидно, что взгляд провайдера хостинга на ИБ и обладателя информации ограниченного доступа будут разными и руководствоваться они будут разными документами, определяющими их стратегию развития.

Ну а часть документов из списка Андрея и вовсе, на мой взгляд, там лишняя. Отчасти по причине отсутствия влияния (те же "приоритетные научные направления" Совбеза или "Стратегия инновационного развития") на ИБ; отчасти по причине своей низкоуровневости. Те же 17-й и 21-й приказы хоть и являются важной вехой в части установления новых требований по ИБ, не являются основополагающими, так как опираются на вполне конкретные и вышестоящие нормативные акты. Если уж упоминать 17/21-й приказы, то незаслуженно забыт приказ по АСУ ТП, СТО БР и 382-П, являющиеся для своих отраслей вполне себе путеводной звездой. Хотя на мой взгляд все эти приказы, стандарты и положения являются низкоуровневыми документами. И их слишком много, что врядли делают их основополагающими (основ не может быть много).

Отсюда и все проблемы, упомянутые Андреем. Авторы нормативных документов по ИБ в России не видят и не знают всей картины, что и приводит к хаосу в разработке НПА и отсутствию единой стратегии, которую КГБ в свое время забраковал. ВОт теперь мы и пожинаем плоды того решения.

19.5.14

Банк России выпустил проект новой редакции 382-П

В пятницу Банк России опубликовал проект «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (текст на сайте ЦБ и на портале публикации нормативных актов). Проект подготовлен Департаментом НПС Банка России.

Интересно, что на портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения, этот акт появился только 16-го мая в 17.10 (т.е. в конце рабочей недели) и он сразу попал на третий этап подготовки НПА - "завершение подготовки".  Несмотря на то, что обсуждение продлится до 23-го мая, документ выпускается явно в спешке (хотя про него было известно еще в Магнитогорске). Чем-то это напоминает выпуск первой редакции 382-П, которой тоже давали около недели на экспертизу, при этом проект уже был отправлен в Минюст на утверждение. Исходя из того, что новая редакция должна вступить в силу через 180 дней после публикации в "Вестнике Банка России", то произойдет это с января 2015-го года.

Как и говорилось в Магнитогорске, проект редакции 382-П расширен за счет:
  • требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов, с использованием систем Интернет-банкинга, мобильного банкинга;
  • требований к использованию платежных карт, оснащенных микропроцессором;
  • факторов, которые должны учитываться при реализации требований 382-П.

Среди нововведений на 30 страниц есть следующие запомнившиеся мне моменты (не все):
  • При разработке клиентской части ДБО оператор по переводу денежных средств (ОПДС) обязан контролировать реализацию требований по защите. Разработчики тперь могут столкнуться с новыми требованиями со стороны банков.
  • При самостоятельной разработке банковского ПО ОПДС обязан самостоятельно устранять уязимости в нем. Тут впору возрадоваться разработчикам сканеров уязвимостей, включая и сканеров исходных кодов. Если планируемая к принятию РС по жизненному циклу АБС носит рекомендательный характер, то 382-П является обязательным.
  • Расширенные требования раздела 2.8.2.
  • Рекомендации по Интернет-банкингу (дневные лимиты, используемые устройства, белый список получателей платежей и т.п.) схожи с прошлогодним 146-Т. Вообще раздел по защите ДБО сильно смахивает на 146-Т; разница только в обязательности.
  • При передаче ОПДС юрлицам банковского ПО обязательно сопровождать его ПО для контроля целостности. А это у нас уже распространение СКЗИ (а как по другому в России контролировать целостность ПО). А распространение СКЗИ требует лицензии ФСБ. Получается, что ЦБ все банки обязывает получать лицензию ФСБ?..
  • Процедура приостановления проведения платежа ОПДС в случае обнаружения признаков мошеннических действий.
  • Детализация темы по уведомлению клиентов о рисках ИБ.
  • Раздел по ИБ банкоматов сильно схож с 34-Т - классификация мест установки, контроль скиммеров, установка средств защиты, удаленный мониторинг и т.п.
  • Новый раздел по платежным карт фиксирует требование по применению EMV-карт с 1.01.2015 и запрет выдачи карт с магнитной полосой после 1-го января 2015-го года.
  • Вносится 29 новых показателей оценки, 7 претерпят изменения.
Вот такие изменения. Ждем принятия документа.

ЗЫ. Еще мне непонятна приписка в п.2.3 "Выполнение требований к обеспечению защиты информации при осуществлении переводов денежных средств обеспечивается с учетом параметров и статистики выполняемых операций, связанных с осуществлением переводов денежных средств, количества и характера выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств". Можно было бы предположить, что речь идет об управлении рисками и свободе выбора защитных мер, исходя из рисков (как в том же 17/21-м приказах ФСТЭК), но остальной текст таких вольностей не допускает.

16.5.14

5 проектов новых НПА в области информационной безопасности

Стоило на денек съездить в Украину, как у нас навыпускали сразу кучу проектов нормативных актов по информационной безопасности.
  • Проект Постановления Правительства Российской Федерации "Об утверждении Порядка обмена электронными документами при организации информационного взаимодействии государственных органов и организаций".
    • Документ устанавливает порядок обмена электронными документами, подписанными электронной подписью, при организации информационного взаимодействия государственных органов и организаций с использованием имеющихся у них информационных систем электронного документооборота, за исключением межведомственных запросов о представлении документов и информации, необходимых для предоставления государственных и муниципальных услуг. Есть там раздел и по ИБ. Но меня зацепил следующий абзац "Формат ЭП определяется методическими рекомендациями Министерства связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой охраны Российской Федерации". ФСО-то тут причем? Они разве какое-то отношение к электронной подписи имеют?..
  • Проект Указа Президента Российской Федерации "О компетентном органе, ответственном в Российской Федерации за реализацию Соглашения о защите секретной информации в рамках Содружества Независимых Государств".
    • Компетентным, разумеется, названа ФСБ России, продолжив традицию, начатую 856-м распоряжением премьер-министра Медведева.
  • Проект Постановления Правительства Российской Федерации "Об установлении Дня специалиста по защите информации".
    • Это документ, подготовленный ФСТЭК, устанавливает 20-е февраля днем российского специалиста по защите информации. 20-е февраля выбрано по причине принятия в этот день в 1995-м году трехглавого закона "Об информации, информационных технологиях и защите информации".
  • Проект федерального закона "О внесении изменений в статьи 187 и 272 Уголовного кодекса Российской Федерации".
    • Предлагается усилить уголовную ответственность за преступления, совершаемые в целях хищения денежных средств с использованием высоких технологий в банковской сфере. Законопроектом предлагается установить в статье 187 Уголовного кодекса ответственность за изготовление для сбыта или сбыт электронных средств и носителей информации, иных технических устройств, компьютерных программ, предназначенных для неправомерного перевода денежных средств в рамках применяемых форм безналичных расчетов. Кроме того, законопроектом вносятся изменения в часть вторую статьи 272 Уголовного кодекса, направленные на приведение мер наказания, установленных за совершение данного преступления, в соответствие со степенью его общественной опасности.
  • Проект федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации"
    • Этот законопроект лишний раз демонстрирует непонимание нашими депутатами не только того, что такое информационная безопасность, но и как работают западные ИТ-компании в России. Якобы законопроект должен защитить государственных пользователей иностранной ИТ-продукции в случае прекращения ее поддержки по причине введения потенциальных санкций со стороны американского правительства. Но в законопроекте ни ответственного ФОИВа, ни ответственности за нарушение, ни процедуры защиты пользователей... одно словоблудие и никакой конкретики.
Вот такие вот законодательные новости всего за 2 прошедших дня. Наши нормотворцы не дают расслабиться ни на секунду - постоянно радуют очередным своим творением, местами интересным, местами не очень. Но зато будет чем обновить курс по законодательству, который вечерами я читаю в РАНХиГС по программе CIO/CSO MBA :-) В понедельник как раз будем ИБ в госорганах рассматривать.

13.5.14

О пользе чтения оригинальных документов, а не перепечаток СМИ

Многие СМИ несколько дней назад разразились очередной сенсацией о том, что Apple признала, что может передавать спецслужбам США различные данные с iPhone своих покупателей, включая e-mail, фотографии и т.п. информацию. Многие эксперты, даже не удосужившись изучить оригинальное заявление Apple сразу же стали заявлять "ну мы же говорили, что с iPhone можно незаметно слить всю информацию в АНБ".

Скромно хочу напомнить, что прежде чем делать скоропалительные выводы и заявления иногда стоит читать оригиналы, а не перепечатки с перепечаток. Итак, что же мы видим в оригинальном заявлении Apple? Да ничего нового. Apple признает, что по запросу спецслужб может передавать информацию о пользователи, логи почты, сообщения e-mail, документы, фотографии, закладки браузера, события календаря, хранящиеся... в облаке iCloud, а не на мобильном устройстве iPhone/iPad.

А что в этом нового? Любой американский оператор связи или хостинг-провайдер обязан по мотивированному запросу спецслужб предоставить такие сведения. Так и российские провайдеры тоже обязаны и тоже предоставляют. Apple всего лишь продемонстрировал свою открытость и четко зафиксировал свою позицию по этому вопросу, указав, что и кому они передают и с кем связаться, если вас интересуют детали. На месте журналистов я бы скорее писал о том, почему российские Интернет-компании и облачные провайдеры не имеют аналогичного документа на своих сайтах. Но это же никому не интересно - искать врага за океаном в нынешней ситуации гораздо привлекательнее.

Резюмирую: Ни о каком скрытом доступе и скачивании гигабайтов информации с мобильного устройства речи не идет.

FireEye покупает nPulse Technologies

Американская FireEye, не так давно купившая Mandiant, объявила 6 мая о подписании соглашения о приобретении частной компании nPulse Technologies, занимающейся захватом и анализом сетевого трафика и расследованием инцидентов с его помощью. Объем сделки составляет около 70 миллионов долларов.

12.5.14

Облака и персональные данные: законопроект Минкомсвязи

Не стал в заметке про законопроект Минкомсвязи про облака поднимать и эту тему, решив вынести ее отдельно. Заметка будет короткой. Помимо вопроса урегулирования применения облаков в государственных и муниципальных предприятиях, законопроект Минкомсвязи вносит небольшое изменение и в закон "О персональных данных", а точнее в ч.4 ст.12 про трансграничную передачу ПДн.

Согласно поправке, одним (шестым) из условий передачи ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн, является "обеспечение условиями договора гарантий защиты прав субъектов персональных данных". Иными словами, теперь в договоре между облачным провайдером и потребителем необходимо прописывать условия обработки ПДн (в соответствие с нашим ФЗ-152) и это станет (я надеюсь) достаточным условием для трансграничной передачи ПДн.

Что характерно, данная норма поможет не только облачным провайдерам, но и многим другим операторам ПДн, которые до сих пор мучаются вопросом о том, как урегулировать вопрос выполнения ФЗ-152 при передаче ПДн за пределы РФ (операторы связи, банки, иностранные работодатели, турагенства, авиакомпании, логистические компании и т.п.). На мой взгляд, такая поправка сильно облегчит жизнь и не потребует теперь получать согласие субъекта на обработку его ПДн в каждой стране, с которой у оператора установлены взаимоотношения. Проблема даже не в самом согласии, а в том, что оператор до конца не всегда сам знает, в какой стране ведется обработка ПДн (для облаков это очень актуально). Предлагаемая поправка призвана решить эту проблему. 

Законопроект Минкомсвязи по облакам закрывает рынок иностранцам

Минкомсвязи опубликовал для общественного обсуждения законопроект “О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений”, задача которого урегулировать вопросы предоставления облачных услуг для органов государственной власти, органов местного самоуправления и органов управления государственными внебюджетными фондами.

И хотя законопроект распространяется и на организации других форм собственности, основные требования коснулись именно государственных и муниципальных учреждений, который после принятия законопроекта будут обязаны выбирать в качестве поставщика облачных услуг не любую организацию с удовлетворяющими условиями оказания услуг, а только ту, которая выполняет установленные государством требования, которые выполнить смогут не все.

В частности от провайдера облачных услуг требуется наличие двух лицензий в области обеспечения информационной безопасности – от ФСТЭК России и ФСБ России, а также наличие аттестата по требованиям безопасности на облачную инфраструктуру. При этом средства защиты информации обязаны иметь сертификаты соответствия ФСТЭК по требованиям безопасности (ФСБ не упомянута). Учитывая распределенный характер современных облачных архитектур и использование зачастую зарубежных площадок (например, Amazon AWS или Microsoft Azure), предлагаемый законопроект ставит крест не только на возможности предоставления западными облачными провайдерами (Microsoft, Google и т.п.) своих услуг российским госорганам и органам местного самоуправления, но и многие российские облачные провайдеры не смогут выполнить требования проекта закона, т.к. либо изначально хостят свои SaaS-инфраструктуры за рубежом, либо держат там резервную площадку.

Собственно, ничего нового в данном законопроекте нет. Он по сути разжевывает облачным провайдерам то, что и так было написано в том же 149-м ФЗ. Но я уже не раз писал, что у нас поставщики облачных услуг витают где-то в облаках и не считают, что требования по ИБ на них распространяются. Законопроект раскладывает все по полочкам. Предлагаешь услуги по защите? Получи лицензию. Используешь средства защиты информации? Сертифицируй их. Хранишь информациб, владельцем которой является государство? Аттестуй инфраструктуру. Требования, известные по 17-му приказу, СТР-К, ФЗ-149 и куче других нормативных актов, большинству из которых уже скоро 10 лет будет.

Тем самым регулятор продолжает взятый недавно курс на обеспечение национальной безопасности и цифрового суверенитета Российской Федерации, и фактически запрещает хранить и обрабатывать информацию, владельцем которой является государство, за пределами Российской Федерации. Если раньше в ГД был внесен законопроект о запрете хостинга государевых сайтов за пределами РФ, то теперь и облака могут быть только на нашей территории.

ЗЫ. Для облачных провайдеров, ориентированных на коммерческих заказчиков, ситуация с точки зрения ИБ не сильно отличается от текущей.

8.5.14

Место специалистов по ИБ после 2020-го года

"Сколково" и Агентство стратегических инициатив выпустили занятный отчет - "Атлас новых профессий", который описывает перспективные и умирающие отрасли и профессии на ближайшие 15-20 лет (Cisco тоже приложила руку к этому труду). Идея "атласа" достаточно интересна и полезна - дать ориентир будущим специалистам в своей профориентации. Я просмотрел эти 170 страниц в контексте информационной безопасности и в очередной раз делаю вывод, что наша с вами профессия "как будто не видна", как пелось в известной песне про милиционеров. Несмотря на наличие такой экзотики как специалист по киберпротезированию, инженер-проектировщик дирижаблей, архитектор виртуальности, проектировщик нейроинтерфейсов и т.п., специалист по ИБ не является ни перспективной, ни умирающей профессией. И это несмотря на активное проникновение виртуальности, ИТ, Интернет в нашу жизнь и в предлагаемые атласом профессии. Но я к такому забвению уже привык. В отчете интересно другое - анализ причин устаревания и ухода ряда профессий с рынка.

Согласно мнению авторов отчета, опирающихся на так называемую кривую Аутора, теряют свою привлекательность специальности, легко автоматизируемые, или люди со средней квалификацией. При этом низкоквалифицированный труд и высококвалифицированная работа по-прежнему в цене.


Авторы отчета делают логический вывод, что автоматизация всегда начинается с задач среднего уровня квалификации, что делает выполняющих их людей кандидатами номер один на увольнение. Заменой таким "середнячкам" становятся роботы, гастарбайтеры, ПО с искусственным интеллектом и аутсорсинг (выбрал то, что более-менее применимо к нашей теме). В списке профессий, выходящих на пенсию, в атласе указаны anykey-щик, системный администратор и аналитик. По мнению экспертов современные технологии уже сейчас способны заменить последние две профессии, а рост уровня ИТ-грамотности приведет к уходу и эникейщиков.

Применительно к нашей тематике вывод можно сделать простой - многие задачи, на которые сейчас активно ищутся люди в РФ, скоро перестанут быть востребованными. Глядя на те R&D-проекты, которые ведутся за пределами РФ по нашей теме, понимаешь, что это не фантастика, а вполне реальная перспектива. При этом речь идет не просто о замене обычного админа, настраивающего "ручками" железки и ПО по ИБ. Есть прототипы (а местами и уже работающие системы) по ИБ-аналитике, по автоматизированному разбору вредоносного ПО, по автоматизированным пентестам и т.п. Т.е. эти пока еще "творческие" специальности скоро перейдут в разряд среднеквалифицированных задач, которые могут быть автоматизированы. Так что молодым (и не очень) специалистам стоит задуматься о том, "куды бечь" и "что делать" после 2020-го года.

ЗЫ. Кстати, лекторы и журналисты по ИБ тоже скоро перестанут быть востребованными :-( Если, конечно, у них не будет каких-то уникальных компетенций.

ЗЗЫ. Все описанное в атласе будет иметь место в РФ только в одном случае - не будут введены жесткие санкции на применение в России западных технологий ИТ и ИБ. В этом случае описанные перспективы у нас наступят лет на 10-15 позже, т.к. все описанное там придется разрабатывать у нас с нуля. Возможен и промежуточный результат - среднеквалифицированные специалисты будут востребованы только в госорганах, к которым будут применяться санкции Запада и (или) симметричный ответ РФ.

7.5.14

В Минкомсвязи новый замминистра по ИБ

Вчера Министерство связи и массовых коммуникаций Российской Федерации объявило о назначении Алексея Соколова заместителем главы Минкомсвязи России. Заниматься новый замминистра будет вопросами информационной безопасности информационных систем, информационно-телекоммуникационных сетей и других сетей связи. Тут бы и вздохнуть свободно и признать, что в профильном министерстве наконец-то появился куратор нашей темы, но не все так просто...

Судя по образованию и предыдущему месту работу г-н Соколов будет заниматься не той безопасностью, к которой мы привыкли, а скорее ее международной составляющей. Управление Интернет (министр Никифоров про это много говорит в последнее время), блокировки неугодных сайтов, Интернет-гетто "Чебурашка", запрет на размещение DNS-серверов .RU и .РФ заграницей, запрет на хостинг сайтов госорганов за пределами РФ... Вот небольшой список вопросов, которые поднимались в последнее время в контексте информационной безопасности и которые имеют отношение не к внутригосударственным делами, а скорее к внешней политике РФ в этой области. Внутреннюю же стратегию ИБ министерство давно отдало в ФСБ. Отдельные вопросы, конечно же, решаются, но у министра и его команды немного иной взгляд на эту тему. Этакий принцип "от себя" :-(

Новый замминистра, скорее всего, будет работать в паре с недавно назначенным спецпредставителем Президента по вопросам международного сотрудничества в области информационной безопасности - господином Крутских, который хорошо известен в определенных кругах, как человек, исторически "курирующий" тему МИБ (международной ИБ) в РФ с доисторических времен. Главное, чтобы не было как в паре "Никифоров - Щеголев", которые отвечают за одно, но представляют разные властные "кланы" и поэтому скорее мешают друг другу, чем помогают.

ЗЫ. Возможно на г-на Соколова повесят и тему присоединения критических информационных инфраструктур к сетям связи общего пользования. Точнее не саму тему, а ее курирование.