30.6.15

ИТ-Диалог: новости ФСТЭК и ФСБ

На прошлой неделе, 25-26 июня в Санкт-Петербурге прошел форум "ИТ-Диалог", где мне довелось уже второй год подряд модерировать (вместе с руководителем ИБ Санкт-петербургского Комитета по информатизации Андреем Лихолетовым) одну из секций - "Россия защищенная". Мероприятие было целиком ориентировано на государственные и муниципальные структуры; поэтому и докладчики в секции были соответствующие:
  • 3 регулятора - ФСТЭК, ФСБ и РКН.
  • 4 представителя госорганов из разных регионов - Санкт-Петербург, Ленинградская область, Республика Коми и Хабаровский край.
  • 3 спонсора, среди которых в том числе и мой работодатель - Cisco.
Свои впечатления я разобью на несколько заметок, так как все доклады были очень интересными и в каждом я почерпнул что-то новое, а местами и полезное. Поэтому в одну заметку я не вмещусь; начну с регуляторов. Кстати, я не буду рассказывать об организации мероприятия - она была вполне на уровне, а уж выбранное место (Константиновский дворец) вообще было вне конкуренции. В президентской резиденции удается бывать не так часто; тем более в таком историческом месте.

Первым выступал представитель питерского ФСТЭК с рассказом о защите АСУ ТП. Был дан обзор и тех объектов, которые есть в Северо-Западном федеральном округе (даже систему управления движением судов есть)


и самого 31-го приказа ФСТЭК. Предваряя классический вопрос, почему 31-й приказ является обязательным и из какого федерального закона вытекает его исполнение, был представлен и такой вот слайд с указанием ключевых ФЗ, которые требуют обеспечения безопасности, в том числе и информационной, и детали реализации которой описаны в 31-м приказе.


Но наиболее интересным, как это часто бывает, была секция вопросов и ответов, которые я сформулирую в виде тезисов:
  • Новые документы ФСТЭК (17, 21, 31 приказы), в отличие от предыдущих, дают свободу выбора для владельцев защищаемых систем. В докладе замминистра ИТ Хабаровского края Кирилла Бермана позже была высказана мысль, что такая свобода - это благо для владельцев государственных систем, но многие лицензиаты к ней пока еще не готовы, так как привыкли работать по СТР-К, по закрытым перечням защитных мер, не подразумевающим никакой свободы выбора.
  • Кстати, об СТР-К. Представителем ФСТЭК была высказана, как он сам сказал, крамольная мысль, что СТР-К является нелегитимным документом, так как он не зарегистрирован в Минюсте. А посему для госорганов и муниципалов единственным документом остается 17-й приказ, что подтверждает и Минкомсвязи применительно к различным типам информационных систем, обрабатываемых в госорганах и муниципальных учреждениях. Вопрос про утечки по техническим каналам не поднимался (кроме СТР-К эта тема больше нигде и не описана в виде требований). Но ввиду принятия в скором времени 5 (!) документов по этой теме думаю, что СТР-К действительно скоро перестанет быть актуальным документом (хотя слухи о его переработке всплывают регулярно).
  • Во время рассказа о банке данных угроз и уязвимостей возник вопрос, как получить доступ к закрытой части банка, в котором публикуется информация о дырах, либо еще не устраненных, либо в специфическом ПО. Ответ был следующий - писать запрос на имя директора ФСТЭК с просьбой предоставить такой доступ. Коммерческим компаниям можно не беспокоиться - доступ только для госов.
  • Применительно к теме надзора за безопасность АСУ ТП и КСИИ была сказано, что ввиду отсутствия пока соответствующего закона о безопасности критической информационной инфраструктуры, проводятся мероприятия систематического наблюдения и проверки, невлекущие за собой наказания (в актах проверки нарушения не пишутся). Однако ФСТЭК собирает информацию для оценки ситуации с защитой АСУ ТП и КСИИ, а также направляет ее в воронежский ГНИИ ПТЗИ для изучения и выработки будущих рекомендаций по защите.
Вторым выступал представитель Управления ФСБ по СЗФО с рассказом о криптографии и ее использовании в госорганах, а также о защите персональных данных. Рассказ был начат с упоминания ПКЗ-2005, как основного документа в области СКЗИ, и обзора основных требований 152-го приказа ФАПСИ, как единственного открытого документа по вопросам эксплуатации СКЗИ. Ничего нового сказано не было; единственное, что упомянули, что пока 152-й приказ менять не планируется. Также был обзор требований 378-го приказа по защите ПДн и краткий рассказ о новой методике моделирования угроз ПДн для госорганов. Из интересных вещей в выступлении и ответах на вопросы представителя ФСБ могу отметить:
  • СКЗИ применяются там, где такие требования вытекают из модели угроз (нарушителя) или технического задания.
  • Изменения в вопросе, что такое оценка соответствия СКЗИ, не появилось. Это только обязательная сертификация в ЦЛСЗ ФСБ.
  • На классический вопрос о том, что делать, когда СКЗИ под нужную задачу нет, последовал не менее классический ответ - создавать СКЗИ с нуля.
  • На вопрос, что считают в ФСБ государственной ИС (ввиду непростой ситуации с трактовками), ответа четкого не было, но было сказано, что при проверках разночтений с госорганами не возникает, а вообще это Минкомсвязь должен дать окончательный ответ на данный вопрос.
  • На вопрос о том, что делать, если все VPN у нас работают на базе BSD или Linux и нарушитель может иметь доступ к среде функционирования, а значит по 378-му приказу надо, чтобы СКЗИ была сертифицирована по классу КА, ответ был простой - подходите творчески к формированию модели нарушителя/угроз. Это предложение от представителей ФСБ звучало уже не раз, так что стоит к нему прислушаться. Тем более, что многие госорганы уже его используют на практике.
  • При анализе методики моделирования угроз ПДн, многие (и я про это писал) обратили внимание на то, что идеология ФСБ следующая. СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно, если не будет доказано, что в канале связи невозможно осуществление несанкционированных воздействий на ПДн. И многие задались вопросом, как и кто это может доказать. Теперь есть ответ на это - доказывать это может лицензиат ФСТЭК (не ФСБ). Именно он определяет уровень защищенности канала связи и его способность обойтись без СКЗИ. Я такие варианты уже описывал - дело осталось за малым - чтобы это подтвердил лицензиат ФСТЭК.


Наконец, представитель УФСБ показал статистику классических нарушений в области применения СКЗИ, выявляемых ими при проверках. В заключение он напомнил всем участникам, что за несоблюдение мер защиты информации, установленных в обязательных документах ФСТЭК (152-й и 378-й приказы ФСБ) существует административная ответственность по части 6 ст.13.12 КоАП. На вопрос о практике применения этой статьи ответ был положительным :-) ФСТЭК, кстати, также подтвердила, что они эту статью используют в отношении тех госорганов и муниципалитетов, которые не выполняют требования 17-го приказа.


Вот такой краткий пересказ выступлений представителей ФСТЭК и ФСБ на "ИТ-Диалоге". Сами выступления были живыми, без зачитываний по бумажке (хотя к ним и обращались как к шпаргалкам). 

В следующей заметке расскажу о второй части выступлений - уже от представителей госорганов, которые делились своим опытом в решении тех или иных проблем. Это была не менее, а скорее даже более интересная часть секции. Но о ней позже.

ЗЫ. Еще из новостей, которые не прозвучали на конференции, но произошли в день ее проведения. Согласно сообщению ТК26 с 1-го января 2016-го года в России вступают в силу новые стандарты криптографической защиты информации - ГОСТ Р 34.12-2015 и Р 34.13-2015.

29.6.15

Презентация по последним законодательным инициативам в области персональных данных

Осталось 2 месяца до вступления в силу последней редакции закона "О персональных данных", включая и поправки, внесенные ФЗ-242. Роскомнадзор проводит последние встречи с операторами ПДн, разъясняя им новые положения законодательства. Решил и я обновить презентацию о том, какие последние новшества законодательства произошли совсем недавно и что нас ждет совсем скоро. По сути, это некоторое переложение моей недавней заметки.



Анализ модели угроз ПДн Банка России

Банк России опубликовал долгожданный проект отраслевой модели угроз безопасности персональным данных. За прошедший с небольшим месяц это уже третий документ в области моделирования угроз ПДн. Сначала появился проект методики моделирования угроз ФСТЭК, затем методика ФСБ и вот уже готовая модель от Банка России.

История этого документа достаточно стара. Его впервые подготовили в 2013-м году, но его согласование застряло в ФСБ России. Потом Крым присоединился к России и ЦБ было уже не до принятия модели угроз - были более важные дела и документы (по этой же причине и FinCERT появился на год позже запланированного). Затем начались геополитические игрища и ЦБ решил пересмотреть свой подход к моделированию угроз ПДн. Если раньше в модели был прописан тезис о неактуальности угроз 1-го и 2-го типа (т.е. недокументированные возможности в системном и прикладном ПО), а в текущей редакции СТО БР ИББС 1.0 эта мысль звучит до сих пор, то в нынешней модели угроз от этого подхода отказались, отдав его на откуп каждому банку, который сам и должен принять решение - опасаться ли закладок в операционных системах, СУБД, банковских приложениях или нет.

В модели зафиксировано всего 10 актуальных угроз ПДн:
  1. НСД лицами, обладающими полномочиями
  2. НСД лицами, необладающими полномочиями, но использующими уязвимости
    • в организации системы защиты
    • в ПО ИСПДн
    • в обеспечении защиты сетевого взаимодействия и каналов передачи данных
    • в обеспечении защиты вычислительных сетей ИСПДн
    • вызванных несоблюдением требований по эксплуатации СКЗИ
  3. Воздействие внешнего по отношению к ИСПДн вредоносного кода
  4. Социальный инжиниринг
  5. НСД к отчуждаемым носителям
  6. Утрата носителей ПДн, включая переносные компьютеры.
Текущий вариант документа сильно изменился по сравнению с проектом 2013-го года. И дело не только в количестве страниц - 4 против 22. В прошлой версии модели очень большое внимание уделялось систематизации типов внешних и внутренних нарушителей, а также способов реализации угроз. К тому же в прошлой редакции вводилось такое понятие как "степень актуальности угрозы" (их было три - высокая, средняя и низкая), что малость вводило в ступор, так как если угроза актуальная, то с ней надо в любом случае бороться и совсем неважно, какой уровень этой актуальности. В нынешнем варианте от этого, к счастью, ушли.

Отличия между проектами моделей угроз ПДн 2013-го и 2015-го годов
Наконец, в прошлом варианте говорилось даже не о перечне актуальных угроз, а скорее о комбинации 4-х элементов - источнике угрозы, категории нарушителя, способе реализации угрозы и оценке актуальности. То, что в текущем проекте называется угрозой, в прежней версии называлось способом реализации угроз. И тогда их было 21, а не 10, как сейчас. Поэтому на выходе комбинированный из 4-х элементов перечень содержал еще больше пунктов - 47.

Фрагмент проекта модели угроз ПДн 2013-го года
Если уж я начал сравнивать, то нельзя не упомянуть и модель угроз из уже отмененной РС 2.4. В ней структура также отличалась и от модели 2013-го года, и от модели 2015-го года. По сути угроз в этой модели было всего 3 - угрозы нарушения классической триады - конфиденциальности, целостности и доступности. Но скомбинированные с типом объекта среды, в которой угрозы реализовывалась, уровнем ИСПДн и источником угрозы, на выходе модель содержала уже 88 пунктов.

Фрагмент модели угроз ПДн из РС 2.4
В целом можно отметить, что текущая модель стала гораздо проще и понятнее. Перечень из 10 угроз, с которыми и надо бороться, опираясь на 382-П, если речь идет ПДн в рамках денежных переводов, и на 21-й приказ ФСТЭК и 378-й приказ ФСБ, если речь идет обо всех остальных случаях. При этом не требуется создавать своих моделей угроз по методикам ФСТЭК или ФСБ - по сути, Банк России это уже сделал за банки. Пожалуй, можно только расширить этот перечень актуальных угроз чем-то своим, что не попало в Указание ЦБ.

Документ согласован с ФСБ и ФСТЭК и, с вероятностью близкой к 100%, изменяться уже не будет. Так что на него можно ориентироваться уже сейчас, не дожидаясь его официального принятия и опубликования в "Вестнике Банка России".

24.6.15

ЦБ опубликовал "статистику" по 203-й и 258-й формам отчетности

Мы ждали, ждали и наконец дождались... Банк России опубликовал обзор по несанкционированным переводам денежных средств в 2014-м году или, иными словами, статистику по 203-й и 258-й формам отчетности. Я не буду пересказывать или копипастить этот отчет - он небольшой, всего 17 страниц. Обращу внимание только на следующие моменты:
  • Отчет красивый :-)
  • Статистики по второму полугодию 2013-го года у нас нет и, видимо, уже не будет. Предыдущая статистика была только за первое полугодие 2013-го года и вот статистика за 2014-й. Не смертельно, но все-таки.
  • Статистика по 4 видам хищений - по платежным картам, по ДБО, по электронным денежных средствам и при взаимодействии банка с платежной системой.
  • Отчетность по инцидентам ДБО не совпадает с предварительной статистикой, озвученной ДНПС на Магнитогорском форуме. Причем если по платежным картам статистика совпадает полностью, то по ДБО расхождения сильные и я не могу понять почему.
Предварительная (слева) и итоговая (справа) отчетность

  • Объем хищений через ДБО и через карты составляет около 3 с половиной миллиардов рублей, что не стыкуется с оценками Group-IB. Последние объем рынка Интернет-преступлений в финансовой сфере оценивают в 615 миллионов долларов, т.е. 30 миллиардов рублей. Шеститикратное расхождение. На самом деле оно больше, т.к. объем преступлений через ДБО, по оценкам Банка России, меньше в два раза, а значит расхождение будет уже на порядок.
  • Не указано, делался ли перерасчет цифр и их нормализация в связи с тем, что в прошлом году был серьезный скачок курса валют и поскольку отчетность за 4-й квартал присылали в ЦБ еще в январе, то не совсем понятно, какой курс учитывался. Особенно актуально это для расчетов по картам, поскольку около 350 миллионов рублей - это оценка потерь по картам, эмитированным за пределами РФ (т.е. они привязаны к иностранной валюте), а около 670 миллионов рублей - это оценка потерь по картам за пределами РФ. Иными словами, по двум третям суммы карточных потерь есть вопрос - насколько она точна и учитывает двухкратный скачок курса рубля к валюте?
  • В Северо-Кавказском федеральном округе, наконец-то, зафиксированы инциденты :-) В прежних отчетах в этом регионе было нулевое значение киберпреступности :-) При этом основой канал мошенничеств по картам на Кавказе - это Интернет и мобильная связь - очень сильно выпадает это значение на фоне других регионов. Но все равно Кавказ, после Крыма, - самый безопасный регион по версии Банка России. Еще бы привязать эти абсолютные цифры к числу финансовых организаций и клиентов, чтобы понять реальное состояние дел.
  • Объем преступлений по картам и по ДБО примерно равны - по полтора миллиарда рублей.
Вот такие краткие результаты. Если честно, то я не в восторге от отчета. Он красиво выглядит, он отлично воспринимается журналистами (они любят цифры потерь), но вот для службы или специалиста ИБ участника национальной платежной системы данных для принятия решений в отчете почти нет. По сути хоть какая-то аналитика (например, по месту совершения преступления) есть только по платежным картам. Но ведь это не 203-я форма отчетности, а 258-я. Если вспомнить, что отдается в ДНПС по 203-й форме, то мы увидим:

203-я форма отчетности - текущий период
203-я форма отчетности - предыдущий период

И где в представленном отчете Банка России информация по типам инцидентов, по их причинам, по их описаниям, по нарушенным требованиям 382-П, по последствиям, по факту обращения в правоохранительные органы? Увы, ничего этого нет. То есть понять, что служит причиной кражи тех миллиардов, о которых говорит ЦБ, невозможно. А значит невозможно и улучшить систему защиты Национальной платежной системы :-( И возникает вопрос, а зачем тогда эта отчетность нужна, если никто не делает по ней никаких выводов? Или в ДНПС не осталось никого, кто это мог бы делать? Тогда может быть отдать отчетности в ГУБЗИ? Там есть кому понять, что значат все поля 203-й формы, а не только сумма похищенных или готовящихся к хищению средств.

22.6.15

Как оценить экономическую эффективность DLP-решения в контексте деятельности службы HR

Дмитрий Мананников (CISO СПСР-Экспресс) на своих выступлениях часто приводит кейс, когда DLP-решение может помочь департаменту HR в решении его задач. Не задач ИБ, а именно в решении HR-задач. В частности, DLP-решение позволяет своевременно обнаружить и, временами, предотвратить, увольнение людей, которых требуется впоследствие заменить. Учитывая, что на поиск и найм кандидата на замещение вакантной должности уходит около 2-3 месяцев, а увольняющийся уходит максимум через 2 недели с момента озвучивания своего решения, то заблаговременное предупреждение HR-службы со стороны службы ИБ, эксплуатирующей DLP-решение, способствует тому, что либо HR успевает поговорить с увольняющимся и отговорить его, либо своевременно найти ему замену, чтобы кандидат на замещение вакантной должности вышел одновременно с уходом сотрудника.

Вот собственно из этого примера я попробовал вытащить вполне конкретные и измеримые показатели, которые, суммировав, можно заложить в кейс по оценке финансовой эффективности DLP-решения, решающего задачи HR. Кстати, эту задачу может решать не только DLP-система, мониторящая почту, но и система контроля доступа в Интернет (система контентной Web-фильтрации), которая позволяет отслеживать доступ к сайтам поиска работы и выявлять превышения неких стандартных значений. Эту же задачу может решить и функция URL-фильтрации в современных NGFW.



Итак, какие затраты могут быть учтены в рамках данного кейса:
  1. Финансовые потери от недоработки. Человек, готовящийся к увольнению и принявший такое решение, может работать в полсилы. Если на предприятии ведется учет определенных показателей деятельности сотрудников, то по ним можно судить о том, насколько человек недорабатывает, а значит компания теряет деньги.
  2. Временные и финансовые потери на увольнение человека (выплаты пособия, оформление бумаг, возврат оборудования и иных активов и т.п.).
  3. Временные и финансовые затраты на запуск процесса поиска нового кандидата (самостоятельно или через внешний рекрутинговый сервис или компанию).
  4. Временные и финансовые затраты на отбор и собеседование кандидатов.
  5. Временные и финансовые затраты на прием кандидата на работу.
  6. Финансовые потери от момента приема работника до его полного включения в рабочий процесс. Нередко в компании есть норма выработки на одного сотрудника. Очевидно, что новичок не всегда способен с ходу влиться в коллектив и начать приносить пользу, на которую рассчитывает работодатель. Процесс выхода на плато продуктивности может занимать до полугода, а это вполне конкретные потери (или недополученные доходы) для компании.
  7. Финансовые затраты на обучение нового сотрудника.
  8. Временные и финансовые затраты на менторство нового сотрудника со стороны "старожилов", которые будут отвлекаться от своей основной работы на помощь новичку.
  9. Временные и финансовые потери на заведение новой учетной записи и время простоя от отсутствия синхронизации учетной записи со всеми системами (вот в этой презентации это более подробно описано - слайды 29-37).
  10. Финансовые и временные затраты на PR. Если сотрудник был высокопоставленный или публичный, то может понадобиться объяснить или опубликовать официальный пресс-релиз о произошедшем событии.
  11. Временные и финансовые затраты на получение сертификатов, которые "висели" на ушедшем сотруднике. Например, потеря сертификата по результатам обучения 500 часов или сертификата CCIE может повлечь за собой потерю лицензии ФСБ или статуса золотого партнера Cisco соответственно.
Измерять эффективность DLP-систем по числу уволенных сотрудников, как это на мероприятиях говорит SearchInform, тоже можно. Только вот данная эффективность никак не связана с бизнес-задачами предприятия, на котором данная система работает или должна работать.

Не все указанные показатели могут быть легко вычислены. Не по всем служба ИБ имеет исходные данные (или не может их получить). Не всегда HR воспримет такой способ "выманить" у них деньги или, иными словами, заручиться их поддержкой. Да и сама служба ИБ тоже не всегда готова уйти от традиционного взгляда на DLP, как на систему контроля утечек информации. Но попробовать стоит. А вдруг получится?..

19.6.15

Можно ли считать Snort отечественной системой обнаружения атак и может ли он защищать гостайну?

Продолжу тему про импортозамещение в отечественной ИБ-индустрии. Итак на сайте "Кода безопасности" в открытом доступе лежит сравнение их "Детектора атак" с другими отечественными системами обнаружения атак. Нормальный документ, но не без косяков, конечно, присущих любому конкурентному анализу. Например, в разделе про базу сигнатур (решающих правил) в одном случае написано, что она коммерческая, а в другом - что она состоит из собственных, открытых и коммерческих сигнатур, совместимых только со Snort. Почему для первой системы это не указано, если она тоже базируется на Snort?


Но удивило меня не это (косяки или некоторые преувеличения в конкурентных сравнениях допускают все). Вопрос в другом. Как можно было при использовании разработанного в США Snort (кстати, не самой последней версии),


Фрагмент документации

при использовании американской базы сигнатур атак (а Emerging Threats, чьей базой пользуется "Детектор атак", принадлежит американской Proofpoint),
Фрагмент с сайта

говорить о том, что


Я даже сейчас вопрос с ОС (а там все построено на базе FreeBSD, OpenBSD, Linux и Windows) не поднимаю, а они явно разработаны не компаниях-"разработчиках" систем обнаружения вторжений. Тут хотя бы по движку IDS решить. Можно ли его называть разработанным в России, да еще конкретной компанией? Как мне кажется, нет! А уж по в отношении всего ПО и его составных частей тем более.

Кстати, когда я уже писал эту заметку, в голову залетела шальная мысль: "А как вообще американская Emerging Threats может продавать в России свою продукцию, которая используется в организациях, находящихся под санкциями?" Это ж риски для потребителя, который в определенный момент просто не сможет получать актуальные сигнатуры атак...

При этом все эти системы могут не только интегрироваться в ГосСОПКУ (это, кстати, 8-й Центр ФСБ вполне допускает), но и защищать гостайну.


Выводов никаких не делаю - делал еще в прошлый раз.

ЗЫ. Увы, но недавние дискуссии в Facebook по поводу переделанной под гостайну и местами неработающей так как от нее ждут ОС Astra Linux показывают, что даже с open source у нас до конца не смогли разобраться.

18.6.15

Обзор "методики" моделирования угроз 8-го Центра ФСБ

8-й Центр ФСБ опубликовал очень интересный, но уже и нечаянный документ, посвященный моделированию угроз персональным данным. Если быть точнее, это не методика моделирования угроз, а методика разработки нормативно-правовых актов, определяющих угрозы ПДн. Откуда такая странная формулировка?

Для этого надо вспомнить предысторию вопроса. Как сейчас помню, в июле 2011-го года мы собрались в АДЭ, в рабочей группе созданной 8-м Центром и посвященной разработке 1119-го Постановления Правительства. Правда, тогда это было 2 постановления. И вот обсуждали мы как раз 19-ю статью, во исполнение которой постановление об определении уровней защищенности и создавалось. И закономерно всплыл вопрос - как учесть угрозы для отдельных видов деятельности, о которых говорит ФЗ-152 и от которых должен был зависеть уровень защищенности? Участниками рабочей группы было предложено два варианта реализации - простой и не очень. “Не очень” заключался в том, что 8-й Центр выпустит под эгидой Правительства или самостоятельно набор типовых моделей угроз, которые будут применяться для разных отраслей. Для операторов связи эту тему захотела сразу подмять под себя АДЭ, что и произошло спустя 3 года, в конце 2014-го (правда, судьба этой инициативы покрыта мраком). Но представитель 8-го Центра тогда выступил против, заявив, что они не готовы для каждого вида деятельности писать свою модель угроз.

Второе предложение заключалось в том, чтобы разработать методику моделирования угроз, который бы уже пользовались отраслевые регуляторы и госорганы. Очевидно было, что без руководства, такие модели никто писать не будет - никто не захочет брать на себя ответственность за всю отрасль или целый госорган. Напишешь мало актуальных угроз - еще и накажут. Напишешь много - в бюджете денег на нейтралиацию не найдешь. В итоге за прошедшее с момента принятия летом 2011-го года последней серьзной редакции ФЗ-152 время, отраслевых моделей так и не появилось. Но идею с методикой 8-й Центр тоже проигнорировал, хотя эксперты предлагали свою помощь и в этом вопросе. Хотя, может быть я и не прав. Вспоминая, что 378-й приказ 8-й Центр тоже "рождал" около 3-х лет, то вполне возможно, что работа над методикой тоже была начата в июле 2012-го года и спустя 3 года мы увидели результат этой работы. Но это неподтвержденная версия.



После моей заметки летом 2013-го года о том, почему бы 8-му Центру не написать все-таки такой руководящий документ, на одном из мероприятий я услышал от первого заместителя директора 8-го Центра Кузьмина Алексея Сергеевича тезис о том, что я нифига не понимаю в действующем законодательстве и ФСБ не обязана писать никаких руководств по моделированию угроз. Правда, выпущенный сейчас методический документ опровергает этот тезис. А может просто ФСБ достали операторы ПДн вопросами о том, как моделировать угрозы...

Но финал закономерен - методичка появилась. Но повторюсь, что это не совсем методика моделирования угроз. Следуя преамбуле документа, он предназначен для тех, кто упомянут в части 5 19-й статьи 152-го закона, т.е. для
  • Федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности,
  • Органов государственной власти субъектов Российской Федерации,
  • Органов государственных внебюджетных фондов,
  • Иных государственных органов в пределах своих полномочий.
Именно они, следуя методике, появившейся спустя 4 года с момента необходимости ее появления, смогут теперь разрабатывать свои отраслевые списки актуальных угроз ПДн. Остальным операторам ПДн "целесообразно руководствоваться" (как написано в документе), этой методикой.

Но насколько эта методика обязательна к применению? Как и предыдущие методические документы ФСБ 2008-го года, данная версия методики не имеет статуса юридически обязательного к исполнению документа. В Минюсте она не зарегистрирована, в источниках публикации официальных нормативно-правовых актов не опубликована, кем подписана - не понятно. На шапке красуется стандартная для методичек ФСБ фраза, что документ “Утвержден руководством 8-го Центра ФСБ”. С документами семилетней давности новую методичку роднит еще и номер, с которого они все начинаются - 149. Наверное это что-то значит, но фиг поймешь что. Возможно это число знаменует собой все необязательные документы 8-го Центра ФСБ по теме персональных данных. Иными словами, данный документ не является обязательным к применению, хотя ряд здравых мыслей и идей в нем присутствует, что позволяет не полностью его отвергать.

Из интересных моментов, на которые я обратил внимание:
  • Документ описывает только те моменты, которые находятся в сфере компетенции ФСБ, т.е. применение средств криптографической защиты (СКЗИ) и атаки на них и их окружение. Ни на что другое методика не претендует.
  • Методика в целом сочетается (как минимум, не противоречит) с проектом методики моделирования угроз ФСТЭК. Структуры итоговых документов (моделей угроз) по версии ФСТЭК и ФСБ схожи.
  • Вопрос применения СКЗИ для защиты ПДн ничем не отличается от аналогичных подходов 2008-го года и от 378-го приказа. Если есть угрозы, которые могут быть нейтрализованы только СКЗИ, надо применять СКЗИ. Однако есть и определенные терминологические оговорки и послабления, которые также в последнее время представители 8-го Центра использовали в своих непубличных выступлениях. В частности перед выпуском 378-го приказа 8-й Центр заявлял в Совете Федерации о творческом подходе к формировании модели нарушителя и необязательности применения СКЗИ даже при передаче ПДн через Интернет. Вспомните один из предложенных Правительством вариантов ухода от применения сертифицированной криптографии.
  • Пассаж о том, что СКЗИ обязательны в случае передачи ПДн по каналам связи, незащищенным от перехвата нарушителем передаваемой по ним информации, я бы не рассматривал в контексте, что в Интернет можно использовать только СКЗИ. Это не так. Например, MPLS защищает от перехвата ПДн, если не рассматривать оператора связи в качестве нарушителя. И архивирование защищает. И обезличивание тоже. Да и другие варианты тоже есть. 
  • Правда, 8-й Центр считает, что делать выводы о том, что MPLS, архивирование или иные механизмы защищают от несанкционированного доступа, может только некая уполномоченная на такие выводы организация. Но ни слова о том, кто ее может на это уполномочивать не сказано. Думаю, что эта фраза сделана в расчете на то, что она отпугнет тех, кто будет уходить от применения сертифицированных СКЗИ :-) Особенно учитывая статус рассматриваемой методички.
  • Что касается сертификации СКЗИ, то в документе опять есть терминологическая тонкость, так похожая на фразы из 21-го приказа ФСТЭК. Постулируется, что СКЗИ должны быть... нет, не сертифицированными, а прошедшими оценку соответствия. А список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. В 21-м приказе была заложена та же конструкция - СЗИ должны пройти оценку соответствия, а если будут применяться сертифицированные СЗИ (а обязательная сертификация - это одна из форм оценки соответствия, но не единственная), то они должны соответствия требованиям ФСТЭК. В рассматриваемом документе 8-го Центра, осознанно или нет, зафиксирована та же мысль. А вот если выбираются СКЗИ сертифицированные, то они должны уже соответствовать требованиям 378-го приказа.
  • Зачем-то 8-й Центр ушел в документе от понятия "нарушителя", ранее активно используемого; как и от "модели нарушителя", заменив их "источниками атак" и "возможностями источников атак".
  • Достаточно гибко 8-й Центр подошел к вопросу признания угроз неактуальными, дав возможность такого решения тем, кто будет писать свои отраслевые модели угроз. При этом в модели должно быть описано, почему та или иная угроза считается неактуальной и что позволяет ее нейтрализовать (в данном контексте нейтрализация угрозы и позволяет считать ее неактуальной).
  • Согласование с ФСБ частных моделей угроз операторов ПДн не требуется. 
В целом данная методичка ФСБ вызвала у меня скорее положительное, чем отрицательное отношение. Она сбалансирована и позволяет при правильном подходе (и чтении) создать гибкую модель угроз. Такое впечатление, что 8-й Центр устал уже заниматься этой темой, но явно признать возможность использования не только сертифицированных СКЗИ пока не готов. Поэтому появляются такие документы, в которым пытливый ум найдет все, что нужно, а непытливый пойдет по старинке - через сертифицированные СКЗИ. И все довольны :-)

17.6.15

12 документов по персональным данным, появившихся за последние 2 месяца

В связи с приближающимся 1-м сентября и увеличившейся активности законодателей и регуляторов по направлению персональных данных (а также для борьбы со своей забывчивостью) решил свести воедино все последние (за последние два месяца) документы и проекты документов по данной тематике. Итак вот список:
  • Законопроект «О внесении изменений в Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» и Федеральный закон от 24 апреля 2008 г. № 48-ФЗ «Об опеке и попечительстве» (в части ПДн учащихся)
  • Проект Постановления Правительства Российской Федерации «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации»
  • Проект Постановления Правительства Российской Федерации «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»
  • Проект приказа Роскомнадзора «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»
  • Проект приказа Роскомнадзора «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»
  • Ответ *** *** по поводу ФЗ-242 (непубличный документ)
  • Ответ *** *** по поводу ФЗ-242 (непубличный документ)
  • Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (буду отдельно писать заметку по ним) 
  • Проект приказа ФСТЭК по моделированию угроз
  • Постатейный комментарий Роскомнадзора к ФЗ-152 (буду отдельно писать заметку по нему)
  • Законопроект "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации" (закон о "праве на забвение")
  • Законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления административной ответственности операторов поисковых систем)" (о наказании нарушителей права на забвение).
Чертова дюжина не получилась, но 12 - тоже красивое число :-)

ЗЫ. Ведомственные приказы ФОИВов по ПДн "для себя" в список не включал.

Три в одной: впечатление от ITSF

Завершилась для меня последняя неделя мая участием в казанском IT & Security Forum (ITSF), который я традиционно посещаю уже не первый год; мне даже отдельную стойку регистрации выделили. Шутка :-)



И я не раз уже писал про это мероприятие. Поэтому много писать не буду, отметив только некоторые моменты. Во-первых, это феноменальная организация. Именно что феноменальная. Никаких накладок, начиная от встречи в аэропорту и заканчивая проводами. Особенно мне понравилась тема с кураторами залов (а их было 4), которые заранее звонили и просили принесли презентацию для ее предварительной проверки, а также заранее напоминали о времени выступления и просили прийти заранее, чтобы не было пробелов между выступлениями. Особенно актуально это было для утренних сессий второго дня, после насыщенной культурной программы дня предыдущего.

Активность кураторов залов, в которых я выступал 

В номере гостиницы меня искренне поразил телевизор, а точнее изображение на нем. Обычно телевизор отображает приветствие, а в этот раз он показывал информацию о мероприятиях ITSF. Я такого раньше нигде не видел. Хотя я и понимаю, как это все устроено. Вся ИТ-инфраструктура отеля Корстон, где проходил ITSF, построена на оборудовании Cisco, и реализовать персонификацию не составляет большого труда. Но выглядело очень интересно.


Культурная программа была как всегда на высоте. Тут и фотовыставка работ Василия Широкова, заместителя генерального директора российского офиса Check Point, позже превратившаяся в благотворительный аукцион.


Тут и концерт группы Uma2rmaH. Много драйва, много музыки, много народа... Хотя со звуком были проблемы, даже у тех, кто сидел в первых рядах. Видимо, звукооператор что-то намудрил.


Хочу отметить особую атмосферу в Максимилианс, месте проведения вечерней программы. Такого и в Москве нет, где все разбредаются после мероприятия или в официальной обстановке сидят за столами и пялятся на поющих и танцующих на сцене. Нет конкурсов и того фана (от англ. fun), который сопровождал те несколько часов, которые продолжалось веселье. Надо отдать должное организаторам и тамаде, которые все время держали в тонусе аудиторию своими задумками. Был сделан отличный фильм об ITSF в стиле репортажа с блондинкой из "Вечернего Урганта", но пока его не выложили на YouTube (пока там ролики прошлых лет).


По традиции организаторы подготовили сюрприз. В этот раз они решили обрить меня, лишив части лицевой растительности. И только благодаря жертве Васи Широкова, мне удалось избежать бритья - весь удар на себя принял Василий. Надеюсь, что в следующем году он также меня спасет. А ведь организаторы уже проговорились, что они готовят мне обрезание :-) Но вся надежда на Васю - он должен прийти на помощь; не впервой :-)


Про непрерывно действующие стенды и демонстрации, а также про постоянную еду в фойе конференции писать не буду - это все было и позволяло коротать время участникам, которые не могли найти себе интересный доклад.

Столпотворение на моем докладе про взлом нефтяной компании Ближнего Востока
В отличие от PHD и ИТОПК на ITSF у меня не было участия в пленарной секции, зато было модерирование круглого стола (опять про импортозамещение), открытие сессии одного из партнеров форума, и три выступления - рекламных и не очень:
  • Вы все еще опираетесь на точки контроля в сети. Выбросьте их на свалку. Превратите всю сеть в СЗИ (скачать)
  • Опыт построения собственной системы Threat Intelligence (скачать)
  • Взлом одной из нефтяных компаний Ближнего Востока. Анализ реального случая (скачать)
Вот такими выдались эти непростые несколько дней - 4 перелета и три мероприятия в одну неделю.

16.6.15

Три в одной: впечатление от ИТОПК

На следующий день после PHD у меня была конференция ИТОПК, а точнее "ИТ в оборонно-промышленном комплексе России", проводимая под эгидой Ростехнологий и для предприятий Ростеха. Проводилась она под Казанью, в официально открытом неделей позже Иннополисе. 

Главный корпус Иннополиса
Надо сказать, что мне Иннополис понравился больше, чем Сколково. В первую очередь тем, что это реальный кампус, в котором уже построено много объектов; который находится вдали от столицы; в котором отличная экология и окружающая среда. Чем-то Иннополис мне напомнил Кремниевую Долину - это реально те место, где можно что-то делать не из-под палки и не с политическими лозунгами на флаге.


Вид из номера горнолыжного комплекса рядом с Иннополисом (я там коротал 4 часа от прилета самолета до выступления)
Учитывая, кто курировал данное мероприятие, оно было организовано богато, но не без косяков. Больше всего мне запомнилось, как было написано название одной китайской компании :-)  


Но вернемся к мероприятию. Я достаточно странным образом попал на него - по прямому приглашению Ростехнологий. Я должен был участвовать в круглом столе, посвященном импортозамещению. Видимо одноименный круглый стол на РусКрипто и предшествующая ему кампания мемов в Интернете запомнились многим :-) Однако круглый стол в итоге трансформировался в пленарное заседание, где я выступал вместе с главой ОАК, РТ-Информа и замминистра связи и массовых коммуникаций. 



На пленарном заседании, которое предварялось выступлением министра Никифорова, много говорилось о том, что должен быть разумный подход в вопросе импортозамещения; что рубить с плеча нельзя; что нельзя запрещать использование западных технологий и работу иностранных компаний, у которых колоссальный опыт, отказываться от которого пока нельзя. Поэтому министр, а за ним и другие участники, больше говорили об экспортопригодности российских ИТ, которые можно продавать партнерам России по различным блокам - БРИКС, ОДКБ, ШОС, СНГ и т.п. Мое краткое выступление было скорее экспромтом и говорил я примерно о том же, но в контексте информационной безопасности и уровнях доверия к используемым технологиям. 

Запомнился мне один забавный момент. Перед началом пленарного заседания распорядителем зала был просто фееричный молодой человек в футболке, так подходящей к теме импортозамещения :-)


После пленарки я пошел на заседание по информационной безопасности, которое модерировал представитель 2-го Управления ФСТЭК Дмитрий Шевцов и директор центра компетенции ИБ РТ-Информа Андрей Губарев, и на котором представители ОПК и спонсоры конференции делали доклады. Кто-то делился наболевшим, кто-то рассказывал о своей продукции. Было местами интересно.


Однако меня неприятно удивило, что некоторые заявленные в программе выступающие снимали свои выступления и отказывались от них. Возможно это было связано с тем, что днем ранее они уже уже обо всем договорились и нужда в их выступлении отпала. С точки зрения бизнеса оно и понятно - чего метать бисер, если от него уже ничего не зависит. Но вот с точки зрения аудитории такое кидалово выглядело не комильфо. Ну да ладно, Чемезов им судья :-) Главное, чтобы сырую продукцию не подсунули...



В этот же день я вернулся из Казани в Москву, чтобы на следующий день вновь лететь обратно в Казань на IT & Security Forum (зачем такие сложности даже и не спрашивайте).

Три в одной: впечатление от PHD

Неделя 25-29 мая выдалась у меня напряженная неделя - обучение и три конференции - PHD, ИТОПК и ITSF. Поэтому три последующих заметки будут посвящены впечатлениям от этих мероприятий, каждому из которых я посвятил один день (исключение составила только казанская ITSF, где я "завис" на два дня). Начну с PHD.

У меня к этому мероприятию трепетное отношение еще с самого первого PHD, проходившего в гостинице "Молодежной". С тех пор мероприятие уже дважды меняло свою площадку, пока не осело в ЦМТ на Красной Пресне. Из двух дней я был только в первый и своей впечатление у меня формировалось только по нему, а также по отзывам коллег в Facebook. Сразу отмечу, что многих коллег я так и не встретил - большая площадка и цейтнот по времени :-( 

Традиционно PHD начался с пленарной сессии, на которой сошлись представители властных структур - депутаты Госдумы, представитель МИДа, представитель 8-го Центра ФСБ, представитель ФНС и, непонятно как туда затесавшийся, я. 

Пленарка PHD
Отдельные несознательные личности часто критикуют PHD именно за такую вот "попсу", считая, что хакерское мероприятие должно быть рассчитано только на гиков, а доклады должны быть такими, чтобы их поняли от силы две три сотни специалистов в стране. Я эту неумную мысль не разделял и не разделяю. Во-первых, чисто хакерские тусовки, на которых только и говорят о взломах и дырах, забывая упомянуть, как с этими проблемами бороться, - это движение в одну сторону; и сторона эта явно не белая. Во-вторых, пытаться улучшить отрасль (а мероприятие, если не рассматривать только версию своего пиара и заработка, направлено и на это) без привлечения всех ее участников невозможно. Ни один технарь, каких бы семи пядей во лбу он не был, не способен ничего сделать, если не может донести свои чаяния до властей и получить от них обратную связь.

Перед началом пленарки. Вид со сцены.
На PHD такая связь была - присутствовали и представители Госдумы, и ФСБ, и ФСТЭК, и МВД. Причем присутствовали не негласно и без бейджиков, а вполне легально и даже выступали. Мне, например, понравилась секция ФСТЭК, на которой рассказывалось о последних веяниях регулятора в контексте конференции PHD. Говорилось о банке данных угроз и уязвимостей, об устранении дыр, о возможности разработки в России своего аналога CVSS (кстати, 10 июня вышла 3-я версия). Забавно что на данную секцию пришли послушать и те, кто рьяно ругает регулятора и считает, что им не место на хакерских тусовках.

Секция ФСТЭК
По сути PHD является на сегодняшний день (и с момента своего основания) реальным объединением "пиджаков" и хакеров, бизнеса и регуляторов. Всем находится место, всегда есть место диалогу. В этом и ценность этого позитивного мероприятия, проводимого уже в пятый раз.

Про положительные стороны больше не буду - достаточно подробно описывал это в предыдущие годы. Хочу добавить немножко дегтя. Речь идет о работающих макетах цифровой подстанции и железной дороги, которые пытаются взламывать в течение двух дней конференции. Точнее не о самих макетах, а о практическом выхлопе из этих взломов. Сложно продемонстрировать последствия от атак на эти систему управления технологическими процессами.

Макет цифровой подстанции на PHD
Если с железной дорогой еще можно как-то заставить поезд сойти с рельсов, то непонятно, что демонстрировать в виде результата взлома цифровой подстанции. Погасшую лампочку? Это не цепляет. Тут надо придумывать что-то другое. Например, на стоящей рядом плазме демонстрировать хроники столкновения поездов, схождения их с рельсов и тому подобные катастрофы, которые смогут придать кибератаке зрелищности и понятности. В случае с подстанцией можно показывать часто используемый голливудскими кинематографистами пример с поэтапно гаснущими кварталами города или с отключением электроэнергии на побережье США.

Макет железной дороги на PHD
Иными словами надо добавить зрелищности и понятности к тому, что уже сделано. Тогда эти стенды превратятся из загнанных в угол в центральные элементы мероприятия, к ним можно будет водить экскурсии регуляторов и депутатов, которые не будут уже рассматривать эти стенды как игрушки, а начнут относиться серьезно к теме кибербезопасности.

Заключительным аккордом в моем взгляде на PHD станет выставка изобразительных работ, демонстрируемых в фойе конференции. Не могу сказать, что это ново - выставки работ уже были и раньше, но в любом случае это позволяет отвлечься от технических докладов. Что тоже бывает полезно.


Вот, пожалуй, и все, чем мне запомнился в этом году PHD.

ЗЫ. Для тех, кого смущает число людей на второй фотографии, хочу отметить, что она была сделана еще до 10-ти утра, т.е. до официального начала мероприятия. В течение дня картина в залах была такая:

Заполненность залов на PHD (фото из Facebook)

15.6.15

Sophos покупает Reflexion Networks

9 июня Sophos объявила о приобретении компании  Reflextion Networks, занимающейся облачными услугами по защите и архивированию электронной почты. Детали сделки не разглашаются.

Конкурс стартапов Skolkovo Cybersecurity Challenge начинает свою работу

Не успел 27-го мая в рамках PHD отгреметь конкурс ИБ-стартатов от Almaz Capital, как в конце мая стартовал еще один конкурс стартапов по ИБ - уже от фонда Сколково и Cisco. Это Skolkovo Cybersecurity Challenge, который проводится уже не в первый раз (в прошлом году конкурс назывался iSecurity).


Я не хочу много писать о конкурсе - моя задача этой заметкой привлечь внимание к конкурсу. Но несколько слов все-таки скажу. Во-первых, стоит обратить внимание на то, что было уже представлено в прошлом году и на PHD в этом году. Как минимум, чтобы не повторяться. Если, конечно, это не вторая/третья попытка получить деньги (такие случаи бывают).

Участники стартап-конкурса на PHD (фото из Facebook)
На проведенном 2-3 июня в Сколково мероприятии Startup Village, также были стартапы по ИБ (наряду с множеством других). По результатам были выделены 3 основных ниши для развития - безопасность облаков, Интернета вещей и АСУ ТП. Интересный у стартаперов взгляд, конечно. Если не брать во внимание облака, то лезть в IoT и АСУ ТП (он же индустриальный Интернет-вещей, Industrial IoT) я бы, на месте стартаперов, не стал. В тему АСУ ТП стартаперов с неизвестной историей мало кто пустит, а значит коммерческие перспективы предлагаемого продукты неочевидны. В области IoT нечего делать без поддержки вендоров, которые пока заняты захватом доли рынка, чем защитой собственных технологий.

Сергей Ходаков, куратор сколковских проектов по ИБ

Также стоит сразу четко спозиционировать свое решение, так как продукт для российского и зарубежного рынка имеют немного разные подходы к продвижению. И хотя сегодня очень много говорят об импортозамещении, в России ИБ-стартапам делать почти нечего. Однако ввиду взятого Минкомсвязью курса на экспортопригодность, т.е. на захват отечественными продуктами рынков Южной Африки и Латинской Америки, ориентация на Запад - это тоже решение. Но оно должно быть осмысленным и правильно оформленным.

Считается, что выигрывает только тот стартап, который уже имеет реально работающий и продаваемый продукт. Это не совсем так. Просто такие проекты, за счет своей реальности, могут быть лучше описаны в документах и представлены на самом конкурсе. "Продавцы идей" обычно не могут четко сформулировать, что же они делают и для чего. И проигрывают они именно поэтому. Особо интересно выглядят конкурентные сравнения, когда существующий только в виде идеи продукт сравнивается с мировым лидером (в своей нише) и уже показывает феноменальный отрыв :-) Надо быть реалистами, что как раз и присутствует у тех, кто имеет прототип или реально работающий продукт и уже столкнулись с реальными заказчиками, которые до стартапа попробовали многое в этой же сфере.

И, наконец, стоит четко понимать, что и для чего вы делаете? Я в прошлом году сотворил краткий чеклист для стартапера. Он до сих пор остается актуальным. Ключевым там является понимание реальных потребностей заказчика. Стартап для продажи и стартап для решения задач клиента - это тоже две большие разницы. Учитывая, что в жюри и экспертный совет конкурса входят либо представители заказчиков, либо представители вендоров, продающих решения заказчикам, то стоит обратить на это внимание. Ориентация на венчурных капиталистов к успеху в конкурсе Сколково может и не привести.

Обсуждение темы кибербезопасности на Startup Village в Сколково 
ЗЫ. По результатам Startup Village один из участников написал заметку - стоит прочитать всем, кто будет стремится на аналогичные конкурсы. Правда, отдельные эксперты конкурса Cybersecurity Challenge эти мысли не разделяют. К ним тоже стоит прислушаться - они влияют на итоговый результат.