Pages - Menu

Страницы

29.2.16

Уральский форум: СТОБР станет обязательным

Убедившись, что с июля 2016-го года национальные стандарты, определяющие требования по защите сведений ограниченного доступа, к которым может относиться и банковская тайна, и инсайдерская информация, могут быть обязательными, мы вновь возвращаемся к вопросу обязательности СТО БР ИББС Банка России. Если вспомнить предысторию, то в 2011-2012-м годах эта тема уже поднималась и Банк России хотел перевести СТО в ранг ГОСТа. Но тогда это не имело большого смысла, так как, что в статусе СТО, что в статусе ГОСТа документ ЦБ не мог перейти из разряда рекомендаций в обязательные к применению нормативные акты. Сейчас ситуация меняется, о чем и говорили на Уральском форуме.

Разумеется, не стоит ждать, что в июле СТОБР поменяет свой статус. Пройдет немало времени, прежде чем это радостное (а для кого-то и не очень) событие произойдет. Давайте прикинем, сколько времени на это понадобится. До июля точно никто никаких шагов предпринимать не будет; да и ЦБ сейчас занят новой редакцией 382-П, о которой я еще скажу дальше. Переводить текущую, пятую версию СТО в разряд ГОСТа тоже не имеет смысла, - потребуется переработка этого документа. Это займет не менее (по моим оценкам) года. Не менее еще одного года уйдет на внесение проекта нового стандарта в Ростехрегулирование, его рассмотрение и принятие. По опыту участия в ТК362 "Защита информации" могу сказать, что обычно на вступление в силу нового ГОСТа уходит около полутора-двух лет с момента его внесения в Ростехрегулирование. Получается, что у нас есть около 3-х лет на этот переходный период. Есть время подготовиться к этой "революции".

На самом деле, переводом СТОБР в ГОСТ дело не ограничивается. После того как ГУБЗИ получило контроль над 382-П (раньше за его развитие отвечал ДНПС) и вся основная нормативная база по ИБ кредитных (и некредитных, но об этом позже) организаций вновь сосредоточилась в одних руках (так было до 2012-го года), ГУБЗИ затеяло небыстрый проект по гармонизации и унификации своих требований по защите информации, которые будут разнесены на два уровня - требования технического характера уйдут на уровень ГОСТов, а требования организационно-правового и технологического характера будут определяться нормативными актами Банка России - положениями и указаниями. Из этого вытекает и логичный вывод о том, что 382-П также претерпит серьезные изменения, о которых я расскажу в следующей заметке.

Может ли ГОСТ быть обязательным? Теперь может!

4 года назад я написал заметку про "обязательность" национальных стандартов (ГОСТов), которые могли получить статус обязательного применения не только путем включения упоминаний в ТЗ, но и в том случае, если автором ГОСТа был один из 4-х регуляторов в области защиты информации ограниченного доступа - ФСТЭК, ФСБ, МинОбороны и СВР. Шли годы и ситуация изменилась.

В июле 2015-го года был принят новый закон №162-ФЗ "О стандартизации в Российской Федерации" (на сайте "Российской газеты", в Консультанте, в Гаранте, у Президента). Согласно данному закону, а точнее его 6-й статье, в том случае, если речь идет о "стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией", то такие стандарты являются обязательными к применению. Порядок такой стандартизации устанавливается Правительством РФ.

Этот закон вступил в силу 29-го сентября 2015-го года, но в полной мере (всеми своими статьями, включая и 6-ю) он заработает с 1-го июля 2016-го года. С этого момента (и после опубликования соответствующего Постановления Правительства, на что тоже понадобится некоторое время) национальные стандарты по информационной безопасности смогут уже безо всяких обиняков получать статус обязательных к применению, что открывает новые возможности для всех федеральных органов исполнительной власти, наделенных правом создавать свои собственные стандарты.

В законе говорится еще много чего о процедуре разработке и принятия ГОСТов и других документов по стандартизации, о признании международных стандартов и других вопросах, но в контексте последующих заметок я хотел остановиться только на одном аспекте нового закона - обязательности применения ГОСТа по защите информации ограниченного доступа.

26.2.16

Уральский форум: почему половина презентаций были бестолковы

Я взял за правило в 15-тиминутный обзор Уральского форума не включать то, что говорили вендоры в своих презентациях. Отчасти потому, что там редко бывает что-то интересное, отчасти потому, что там одна реклама... В первые два раза, когда я делал обзор, я еще пытался указать спикерам на типичные ошибки при выступлении, но потом отказался от этой идеи. Все-таки каждый сам кузнец своего счастья и каждый самостоятельно определяет как он отбивает маркетинговые затраты на поездки в Магнитогорск. Для кого-то основная задача - поймать тепленького клиента вечером и договориться обо всем (в таких случаях можно и на выступление свое не ходить - такое бывало). Для кого-то выступление - это отбывание повинности и результат в этом случае неважен. Для кого-то выступление - это самолюбование. Но есть и те, кто действительно пытается с пользой потратить 15-20 минут. Для них моя заметка.

В презентациях по финансовой эффективности ИБ я не раз фокусирую внимание на очень важной мысли, без понимания которой любая оценка обречена на неудачу. Важно понимать не ЧТО вы делаете в ИБ, а для ЧЕГО вы это делаете. В случае с презентациями я могу повторить ту же самую идею. Не так важно, ЧТО вы хотите вложить в вашу презентацию; гораздо важнее, ЧЕГО вы хотите достичь, читая вашу презентацию.

Те, кто могут сделать шаг от "ЧТО" к "ДЛЯ ЧЕГО" еще только находятся на полпути к победе, так как очень часто "ДЛЯ ЧЕГО" они трансформируют в "ДЛЯ ИНФОРМИРОВАНИЯ" и дальше честно рассказывают кучу слайдов о своих продуктах или продукте, забывая все-таки ответить на вопрос "для чего информировать целевую аудиторию". Цель нормальной презентации - не информировать о чем-то, а изменить что-то. Например, изменить поведение людей и организаций (правильно выбирать пароли или проводить расследование инцидентов), изменить убеждения (перестать тупо повторять про зло от импортных продуктов) и т.п. Это задача минимум. Задача максимум - заставить целевую аудиторию сделать что-то (например, пойти и купить продукт или хотя бы протестировать его, скачать freeware-решение для анализа вредоносного кода, присоединиться к FinCERT и т.п.). Иными словами, идеально, если презентация сможет не только убедить что-то сделать, но и заставить что-то сделать. И в презентации должен быть мостик между этими двумя пунктами.

Именно поэтому рассказы о современных угрозах, тенденциях и других аналогичных темах, могут быть интересны с точки зрения получения информации, но малополезны с точки зрения конкретных действий и пользы от них для конкретной организации, направившей своего сотрудника в командировку. Если бы еще каждый докладчик рассказывал что-то новое и ранее неслышанное, то тут ему можно было бы сказать спасибо хотя бы за новую информацию (спикер запомнится только этим, но он запомнится). А если все повторяют про APT, АРМ КБР, DDoS как попугаи, то это на третьем докладе становится уже скучным и народ начинает покидать зал.

Запугивать страшилками про "кражу миллиарда из АБС", "апокалипсис в мобильных банковских приложениях", "повсеместные импланты АНБ" и т.п. - дело нехитрое и много ума не требующее. Гораздо сложнее показать, как с этими угрозами бороться. И уж совсем непросто показать конкретные шаги, которые нужно сделать для того чтобы борьба с угрозами превратилась из слов в дело. Желательно, конечно, чтобы эти шаги были выполнимыми и их можно было бы начать делать сразу после презентации. Тогда шанс, что аудитория их попробует сделать гораздо выше, чем попытка "продать слона целиком". Но опять же повторю, что все это имеет смысл, если задача спикера - получить выгоду от своей презентации. Если он демонстрирует себя - забудьте, что я написал. Если он уже все "порешал" на горе или в баре - забудьте, что я написал.

На Уральском форуме были не только представители продавцов, задача которых должны была состоять в том, чтобы заставить слушателей после конференции попробовать их продукты/услуги. Были также и представители банков, которые ничего никому не продают, а просто делятся своим опытом. Как к ним применить то, что я написал выше? Как ни странно, но ничего не меняется. Если заказчик выступает на конференции и он не мотивирован производителем скрыто рекламируемой услуги или продукта, то у выступающего могут быть следующие цели:

  • Закрепить имидж своей компании ("смотрите, какую классную штуку мы у себя внедрили") или свой собственный авторитет ("смотрите, с какой классной штукой мне удалось поработать - я готов поделиться опытом").
  • Приобрести статус эксперта в какой-либо области ("смотрите, я обладаю уникальными знаниями/опытом - обращайтесь ко мне").
  • Сформировать сеть знакомств ("смотрите, я могу тоже самое сделать и для вас").
И чтобы этих целей достичь надо не только заинтересовать слушателей (им должна быть знакома проблема, описываемая в докладе), но и заставить после доклада обратиться за деталями. Разумеется, доклады в стиле "я обладаю сокровенным знанием, но каким не скажу" не срабатывают. Тут нет даже информирования и убеждения, не говоря уже о действиях.

Наконец, третья категория выступающих - регуляторы. Они могут попадать как в первые две категорию докладчиков - продающие что-то (новые нормативные акты) и продающие себя, так и относиться к третьей - озвучивать отчет о деятельности по какому-то направлению (FinCERT, 202-я или 203-я форма отчетности, проверки и т.п.). В последнем случае регулятор тоже хочет (я надеюсь, что он хочет) добиться некоторых управленческих решений от слушателей, подпадающих под регулирование. Если, например, по отчетности число атак на ДБО растет, то надо снизить это число путем внедрения новых защитных мер. Если по результатам анализа 202-й формы оказывается, что у многих банков либо завышена, либо занижена итоговая оценка, то надо изменить что-то в самой отчетности и предостеречь банки от махинаций с цифрами. Поэтому регуляторам, отчитывающимся о своей деятельности, я бы рекомендовал следующий простой план выступления:
  1. Основные показатели деятельности (лицензии, дыры, сертификаты, проверки, уровни соответствия, хищения и т.п.). Достигнуты установленные в начале отчетного периода значения или нет? Если нет, то почему?
  2. Что произошло в работе важного за этот отчетный период? Почему это важно ("важно" для регулятора и для целевой аудитории может быть разным)?
  3. Все движется и развивается как должно или есть отклонения? Они серьезные? Если да, то почему они возникли и как в будущем вернуться на путь истинный?
  4. Есть ли какие-то сложности, которые нужно разрешить в будущем? Регулятор это сделает сам или ему нужна помощь от регулируемых?
  5. Если есть возможность рассказать о планах, то почему бы и нет - аудитория любит слушать о будущих изменениях; особенно если рассказ о них сопровождается объяснением, зачем эти изменения нужны.
Вот такие размышления о том, как выступали различные докладчики на Уральском форуме.

25.2.16

BlackBerry покупает Encription

24 февраля канадская компания BlackBerry объявила о приобретении английской Encription Limited, занимающейся консалтинговыми услугами в области кибербезопасности. Размер сделки не сообщается.

Уральский форум: Роскомнадзор и кредитные организации

Начну потихоньку выкладывать расширенные мысли и впечатления от Уральского форума по ИБ финансовых организаций, который закончился на прошлой неделе в Магнитогорске. В первой заметке выложу запись презентации замначальника РКН Приезжевой А.А. Причин две. Во-первых, это выступление было самым технически продвинутым (сделано и показано в Prezi), а, во-вторых, его удалили с сайта Prezi в тот же день и доступа к нему ни у кого не оказалось (причины удаления мне непонятны). Хотя в нем были очень интересные мысли и факты относительно деятельности РКН применительно к кредитным организациям.


Реестр отечественного софта в контексте информационной безопасности

Все думал, писать или не писать про реестр якобы отечественного софта в контексте информационной безопасности. Но тут, после публикации новости о внесении в реестр около сотни российских продуктов, все-таки решил выплеснуть ушат эмоций на околореестровую тему. Собственно, даже это будут не эмоции, а скорее мысли вслух по поводу конкретно этого реестра и способа его ведения. Сразу скажу, что я не против развития отечественной ИТ/ИБ-индустрии. Только вот делается это как-то несуразно и вот несколько тому подтверждений.

Итак, данный реестр создается на основании Постановления Правительства №1236 от 16 ноября 2015 года и поэтому я буду полностью ориентировать именно на его текст в своих размышлениях. Во-первых, где в этом ПП-1236 и, как следствие, в реестре ПО не для ЭВМ? И вообще, почему все так привязаны к этой дурацкой формулировке "программное обеспечение для ЭВМ и баз данных", кочующее из закона в закон? То, что эта фраза появилась в старом законе "Об авторском праве и смежных правах", не делает ее истиной в последней инстанции. Просто авторы этого дремучего закона от 93-го года на момент его написания и не знали, что программа может запускаться не только на ЭВМ. А сейчас? Возьмем уже всем набивший оскомину Интернет вещей. Если рассматривать ПО для работы какого-нибудь датчика IoT, то считать ли его программой для ЭВМ? И тоже самое сетевое оборудование? А BIOS/UEFI? Собственно к фразе "происходящего из иностранных государств" тоже есть немало претензий. Linux у нас откуда происходит? Ну да ладно, пойдем дальше.

Реестр должен содержать код (коды) продукции в соответствие с ОКВЭД. Тыц-тыц... С ОКВЭД в ПП-1236 вообще фееричная история. Дело в том, что в России принято... три классификатора ОКВЭДа. Один, ОКВЭД ОК 029-2001 был принят в 6-го ноября 2001 года. Второй - ОКВЭД ОК 029-2007 от 22.11.2007. Третий - ОКВЭД ОК 029-2014, принятый 31.01.2014. Так вот у нас сейчас действует не финальная редакция ОКВЭД, а первые две (тоже странная конструкция). Действуют они до 1-го января 2017-го года, и в них нет кодов для области информационной безопасности. Есть вот такие:
  • 72.10 Консультирование по аппаратным средствам вычислительной техники
  • 72.20 Разработка программного обеспечения и консультирование в этой области
  • 72.30 Обработка данных
  • 72.40 Деятельность по созданию и использованию баз данных и информационных ресурсов
  • 72.50 Техническое обслуживание и ремонт офисных машин и вычислительной техники
  • 72.60 Прочая деятельность, связанная с использованием вычислительной техники и информационных технологий
  • 74.6 Проведение расследований и обеспечение безопасности (правда, физической и антитеррористической)
  • 75.24 Деятельность по обеспечению общественного порядка и безопасности (сюда, наряду с деятельностью ФСБ, СВР, МВД, ФНС и других силовиков, попало и обеспечение безопасности средств связи и информации, но не информационных систем, и не сетей связи, и не СВТ).
В новой редакции коды поменялись. Например, 72.20 - это теперь не разработка ПО, а научные исследования и разработки в области общественных и гуманитарных наук. К теме ИТ относится новая категория 58.2 "Издание программного обеспечения" и в ней:
  • Издание прочих программных продуктов (программных продуктов общего пользования), включая перевод или адаптацию программных продуктов общего пользования для конкретного рынка за собственный счет: операционные системы, приложения для бизнеса и прочие приложения)
  • 18.20 - воспроизведение программного обеспечения
  • 47.41 - розничная торговля готовым программным обеспечением
  • 62.01 - производство программного обеспечения, не связанного с изданием, включая перевод или адаптацию программного обеспечения общего пользования, для конкретных приложений, за вознаграждение или на договорной основе
  • 63.11 - интерактивное предоставление программного обеспечения (предоставление прикладного хостинга, предоставление прикладных программ)
  • 46.51 - деятельность консультативная и работы в области компьютерных технологий продажу аппаратных средств вычислительной техники или программного обеспечения
  • 33.20 - установка универсальных ЭВМ и аналоговых компьютеров
  • 62.09 - установка (настройка) персональных компьютеров
  • 80 - Деятельность по обеспечению безопасности и проведению расследований
  • 26.30.11.160 - программное обеспечение, обеспечивающее выполнение установленных действий при проведении оперативно-розыскных мероприятий
Из ОКВЭД2 пропало обеспечение безопасности средств связи и информации; я этого пункта вообще в новом ОКВЭД не нашел. Получается, что когда говорили об импортозапрещении и в качестве одного из мотивов приводили тему национальной безопасности, о том, чтобы ввести хотя бы код вида экономической деятельности, имеющей отношение к безопасности ПО, не подумали. Ну да, наверное были и более важные дела.

Правда, вопрос о том, какой из трех ОКВЭДов использовать при заполнении реестра, так и остается открытым - все три действительны, но последний еще не вступил в силу. Если подаваться по будущему классификатору (а именно его коды приведены в приложении к методичке Минкомсвязи по подаче заявления на включение ПО в реестр), то возникает коллизия - согласно приказа Росстандарта от 10.11.2015 №1745ст он вступает в силу только с 1-го января 2017 года. А если подаваться по действующему классификатору, то с 1-го января придется вновь подавать документы в связи с изменением сведений в первично поданных документах.

В отношении Лаборатории Касперского, Parallels, ABBYY, Яндекса и ряда других компаний с мировым именем часто возникают инсинуации относительно того, что эти компании зарегистрированы не в России и права собственности принадлежат не российским юридическим лицам. Да, возможно это так, но... в ПП-1326 говорится о том, что правообладателем ПО может быть и физическое лицо, а к нему предъявляется только одно требование - быть гражданином РФ. Но и тут есть подводный камень; даже два. Во-первых, ни слова не говорится о запрете двойного или даже тройного гражданства (на предварительных обсуждениях эта тема всплывала, но ее как-то замылили), что как бы намекает... А, во-вторых, мне интересно посмотреть на документы, в которых правообладателем является конкретное физическое лицо, а не компания.

Но мы идем дальше. Следующим пунктом является требование наличия страницы в Интернете, где была бы представлена пользовательская документация. Возьмем, к примеру, Wallarm, который может, вдруг, захотеть продаваться в госорганы в качестве альтернативы Application Firewall от Positive Technologies. И попробуем мы зайти на страницу www.wallarm.ru и... Перекинут нас на американский сайт компании-разработчика, которая не имеет своего российского Интернет-представительства. Тут на днях ко мне обратились организаторы одного мероприятия, желающие пригласить Wallarm для проведения мастер-класса. Просили они у меня контактов Wallarm, так как не могли найти контактов этой компании; российских контактов, я имею ввиду. Разрешено ли иметь англоязычную страницу в Интернет и такую же англоязычную документацию? Формально да, а вот если здраво рассуждать (в контексте национальной идеи, импортозамещения и т.п.), то получается как-то некузяво. Дальше по тексту говорится, что представленная информация может быть и на иностранном языке, но с заверенными переводами на русский язык.

И вот мы подступаем к 5-му (да-да, только к 5-му) пункту ПП-1236, в котором говорится о требованиях, которым должно удовлетворять ПО, включаемое в реестр. Одним из таких требований является свободная реализации ПО на всей территории РФ. С точки зрения авторов нормативного акта, как я их понимаю, главным был фрагмент "на всей территории РФ", чтобы отсечь всяких супостатов, не желающих торговать на территории Крым (про российские банки и платежные системы, не желающие работать в Крыму, я скромно умолчу). Но... мы же люди подкованные и не должны выдергивать фразу из контекста. Возьмем и вторую часть этого абзаца и увидим, что в нем говорится о "свободной реализации". А согласно действующему законодательству в России нет свободной реализации средств шифрования - существует вполне конкретное ПП-330, которое устанавливает условия, при которых организация, имеет право получить лицензию ФСБ, после чего только получает право реализовывать (распространять) средства шифрования. А при подаче документов на лицензию, еще необходимо указать адреса, по которым будет вестись лицензируемый вид деятельности. Интересно... Получается, что российские средства шифрования не могут попасть в данный реестр.

Дальше больше. В пункте 5д говорится о том, что если ПО реализует функции защиты конфиденциальной информации, то у такого ПО должен быть сертификат соответствия. В этом пункте вообще скрывается целый букет междустрочий. Во-первых, неявно, но речь идет о сертификате ФСТЭК, который подтверждает как раз соответствие требованиям безопасности конфиденциальной информации. С одной стороны, где ФСБ? Но мы уже увидели выше, что на средства шифрования по ПП-1236 вообще не могут быть занесены в реестр. И хотя это явный косяк разработчиков, незнакомых с законодательством по ИБ, формально никакого нарушения нет. С другой стороны, где говорится о том, что функция защиты конфиденциальной информации является основной? Без этого, под данное требование попадают все программные продукты. Ведь каждый из них реализуют ту или иную функцию по защите, например, идентификацию и аутентификацию администратора ПО. А может быть и другие функции. Но сейчас в реестре внесено чуть менее 10% ПО, имеющего сертификат ФСТЭК. Опять нарушение установленных требований. Кстати, сейчас в стадии подачи в реестр находится несколько средств защиты информации, которые... тыц-тыц еще не имеют сертификата ФСТЭК и только ждут его получения. Будет забавно если их внесут в реестр в нарушение установленных правил. Не то, чтобы я сомневаюсь, что их внесут, но лишнее подтверждение, что документ писали люди, далекие от ИБ, и что вся эта затея с импортозамещением - всего лишь профанация, все-таки будет налицо. Кстати, с сертификацией ФСТЭК есть и еще один нюанс. В ФСТЭК подается на сертификацию конкретная версия ПО, а не просто его наименование. А в реестре про этот момент ни слова. Поэтому не исключаю ситуацию, что через полгода-год возникнет ситуация, когда в реестре будет ПО с уже недействующим сертификатом соответствия или с сертификатом, выданным на предыдущую версию отечественного ПО.

Следующее требование. Если правообладателем является российская коммерческая или некоммерческая компания, то у нее должна быть лицензия ФСТЭК на разработку средств защиты информации. Тут на поверхности никаких косяков нет. Но это на поверхности. Этот пункт, особенно в контексте, грядущего изменения требований к лицензиатам, ставит крест на попытках отечественных стартапов попасть в реестр. Без системы менеджмента качества по ISO 9000 и внедренного (и подтвержденного) SDLC получить лицензию будет нельзя, а без лицензии нельзя попасть в реестр. Внедрять ISO 9000 и SDLC стартапу не по карману, так как у них нет еще достаточного количества клиентов и денег на развитие такой темы. А получить новых клиентов они не могут, так как в госорганы (более половины российского рынка ИБ) им путь закрыт. Замкнутый круг. То есть все красивые слова о развитии инноваций и стартапов в России опять оказываются пустым звуком. Стартапы так и будут ориентироваться на западный рынок, а российский будет поделен среди десятка ИБ-игроков, которые и сейчас чувствуют себя неплохо, не особо и нуждаясь в каких-либо преференциях.

Но с требованием лицензии ФСТЭК (кстати, опять забыта лицензия ФСБ на разработку средств шифрования, которым, видимо путь в реестр закрыт сознательно) связан и еще один момент, на который некоторые специалисты не обращают внимание, возможно сознательно. Представьте, что права на "отечественное" ПО зарегистрированы не на российское юрлицо, а на физлицо (как это иногда утверждают представители имеющих российские корни компаний, которые уже давно ушли на западные рынки). Тогда, по тому же ПП-1236, у этого физлица должна быть лицензия ФСТЭК. А много ли таких физлиц вы видели? Я - ни одного. Фактически, получается, что гражданин России не может быть правообладателем ПО, выполняющего функции защиты информации. А если ПО зарегистрировано на него, то... оно формально не может быть внесено в реестр (у физлиц же нет лицензии ФСТЭК).

Дальше ПП-1236 описывает процедуру подачи заявления на включение в реестр, из которой я бы хотел отметить только один момент - заявление должно быть подписано усиленной квалифицированной электронной подписью. А получение этой подписи для недавно образованного стартапа та еще "Одиссея". Очередной камень преткновения на пути молодых предпринимателей на отечественный рынок ИБ.

Еще один нюанс мне бы хотелось отметить применительно к классификатору ПО, который приведен в приложении к методичке Минкомсвязи по заполнению заявления на включение ПО в реестр. В нем по нашей теме приводится (впрямую) всего два типа ПО - "средства обеспечения ИБ" и "средства анализа исходного кода на закладки и уязвимости". Вот почему именно такое деление? Почему сканеры исходного кода вынесены в отдельную категорию, а сканеры уязвимостей нет? Тут у меня, конечно, есть подозрения, учитывая активное участие некоторых коллег в формировании всего пакета нормативных документов, но пусть эти подозрения останутся со мной.

В заключение у меня остается два вопроса, которые я задам вслух, но ответы на которые я жду увидеть в самом ближайшем будущем:
  • Как быть с облачными сервисами, например, с анти-DDoS? С одной стороны в классификаторе ПО есть такой пункт как "средства обеспечения облачных и распределенных вычислений", а с другой, видно, что реестр заточен именно на классическое понимание софта, как отчуждаемого на носителе или получаемого по каналам связи экземпляра. Да и с сертификацией сервисов ИБ по документам ФСТЭК не все так просто. Тут скорее подходит аттестация, но про нее в ПП-1236 ни слова.
  • Зарегистрируют ли как отечественное ПО антивирус от словацкой компании ESET?

24.2.16

Своя ИБ-игра: как это было

В декабре я уже писал, что на Уральском форуме по информационной безопасности я буду проводить Свою ИБ-игру, которая похожа на то, что показывали по НТВ, но полностью ориентированной на банковскую тематику. В итоге я ее все-таки сделал и провел в последний день форума.

В качестве платформы был выбран PowerPoint ввиду его распространенности и относительной простоты реализации (вся логика работы, подсчет очков, вопросы-аукцион были реализованы на макросах). Когда я эту игру в первый раз увидел у нас в штаб-квартире в ноябре прошлого года на конференции Cisco SecCon, то там это было реализовано руками наших программистов как Web-проект. Мне показалось это сложным и плохо отчуждаемым вариантом. В моем случае все гораздо проще - все внутри одного файла.

Самым сложным оказалось составить 60 разноплановых вопросов к игре. Но с другой стороны этот процесс был сам по себе интересным - я и сам узнал немало нового, когда составлял кандидатов на включение в список. Попутно наполнялся пул вопросов и по другим направлениям. Если в Магнитогорске я делал банковскую ИБ-игру, то сейчас у меня есть свой набор вопросов по криптографии и по технологиям безопасности Cisco. В принципе можно таких наборов сделать и еще несколько - более технических, более юридических или сфокусированных на какой-либо отрасли или компании. Пройдя уже один раз через, второй и последующие разы будут легче.

Чтобы стало понятно, как это все было устроено, записал небольшой ролик, показывающий и сам движок и некоторые вопросы, которые задавались на Уральском форуме 4-м командам - вендорам, интеграторам, банкирам и Центральному банку.



А вот и капитан команды-победителя - Лев Шумский :-) Шапочка на голове означала не только статус капитана, но и позволяла выделять одну команду от другой.
Лев Шумский, капитан команды победителей

20.2.16

Уральский форум за 15 минут (видео + презентация)

Вчера завершил свою работу Уральский форум по информационной безопасности... нет, не банков, а финансовых организаций. С этого года спектр организаций, которые на целую неделю попадают в реальную зиму, расширился за счет некредитных финансовых организаций, для которых на мероприятии был целый отдельный поток.

Я уже традиционно завершаю весь форум 15-тиминутным обзором ключевых новостей, мыслей и тезисов, прозвучавших в течение пяти дней деловой программы. В этот раз традиция тоже не была нарушена и в ночь с четверга на пятницу я сводил все в небольшую презентацию. Надо сразу сказать, что все в установленные рамки не вместилось. В итоге я сконцентрировался только на изменении регуляторики со стороны Банка России, ФСБ и Роскомнадзора (ФСТЭК в этом году не смог участвовать, но новостям ФСТЭК я посвятил предыдущие 6 заметок).

Первоначально я хотел выложить свою презентацию 24-го, в первый рабочий день после праздников, но так получилось, что организаторы (Авангард-Про) записали мой доклад и, что самое важное, выложили эту запись на Youtube. Поэтому не стану дожидаться среды и выложу тут эту запись.



А так как в данной записи не очень хорошо видно текст презентации на экране, то прикладываю и саму презентацию.



ЗЫ. Ощущения и впечатления от форума, а также другую свою презентацию и демки с практического дня я выложу позже.

17.2.16

Конференция ФСТЭК: банк данных угроз и уязвимостей

Еще одним интересным докладом на конференции ФСТЭК оказалось выступление Владимира Минакова из воронежского ГНИИ ПТЗИ, который рассказывал о том, что из себя сегодня представляет банк данных угроз и уязвимостей, разработку и ведение которого поручено ФСТЭК России.


За прошедший с прошлой конференции год БДУ сильно изменился - добавилось 20 новых угроз и около 3000 тысяч уязвимостей, общее число которых составило соответственно 182 и 13052 (на 25-е января).


Представитель Воронежа сделал очень недурной обзор существующих в мире баз уязвимостей угроз и уязвимостей. Я не буду его повторять - отмечу только два момента. На фоне многих других баз уязвимостей ФСТЭКовская выглядит очень и очень достойно. И это всего за один год ее работы. А вот в части угроз мне не совсем понятно оказалось исключение из списка сравнения американской базы CAPEC - по сути она схожа с тем, что делает наш регулятор.

В части развития ФСТЭК видит несколько направления приложения своих сил:


  • расширение числа угроз (порядка 140 еще находятся на стадии рассмотрения) и уязвимостей
  • введение разных классификаций угроз и уязвимостей для облегчения поиска по ним и фильтрации
  • связь с CVSS 3.0
  • включение поля "дата устранения уязвимости" для каждой из полутора десятков тысяч дыр
  • описание уязвимостей на языке OVAL
  • описание способа нейтрализации уязвимости
  • активизация поиска уязвимостей в отечественном, а не только в западном ПО.

В части функционала самого банка данных ФСТЭК вместе с ГНИИ ПТЗИ планирует сделать тоже немало и, в частности, подписку на обновления БДУ, описание небезопасных конструкций кода (в контексте SDLC), "личный кабинет" для формирования собственного профиля интересующих уязвимостей и ряд других новшеств.



Я в своей презентации про моделирование угроз в UEFI и BIOS приводил на последнем слайде скриншот разработанного в Cisco внутреннего инструментария по моделированию угроз, который позволяет автоматизировать непростую задачу и дать аналитику возможность отрисовать схему анализируемого объекта защиты и подгрузить в нее данные об уязвимостях, угрозах и мерах защиты из внешних и внутренних баз данных. Этакая экспертная система, задача которой - снизить вероятность ошибки и автоматизировать процесс, что приведет к оперативному составлению качественных моделей угроз. Вот если бы ФСТЭК запланировала создание такого инструмента - в виде Web-инструмента или в виде open source проекта. Цены бы ему не было.

ЗЫ. Пожалуй, это все, что я хотел рассказать про мероприятие ФСТЭК. Про аккредитацию я писать не буду. Про новые требования к лицензиатам я уже высказывался. Выступления других участников - лицензиатов ФСТЭК - пересказать не могу, так как убежал. В любом случае все материалы выложены на сайте организатора или вот тут.

Конференция ФСТЭК: АСУ ТП, ГОСТы, методички, моделирование угроз, сертификация

Среди других документов, которые готовит ФСТЭК стоит отметить новую методичку по 31-му приказу, которая раскроет, что скрывается за многими, не всегда понятными защитными мерами для промышленных сетей. Это будет полный аналог методического документы "Меры защиты информации в государственных информационных системах", который был выпущен в дополнение к 17-му приказу. ФСТЭК называет срок - конец 2016-го года, но я побуду пессимистом и предположу, что это будет скорее первый квартал 2017-го года (все-таки при нехватке ресурсов, ФСТЭК не потянет все свои планы и обязательно что-то да передвинет).

В контексте национальной стандартизации хочется отметить следующее:

  • В 2015-м году было утверждено два новых ГОСТа (56545 и 56546) по классификации и описанию уязвимостей.
  • В Росстандарт направлены два разработанных ГОСТа - по безопасности технологий виртуализации и по безопасной разработке ПО (SDLC). После утверждения первого ГОСТа ФСТЭК будет принимать требования к средствам защиты виртуализации. Второй ГОСТ возможно со временем станет обязательным - пока же он будет носить рекомендательный характер.
  • Подготовлены к направлению в Росстандарт еще два ГОСТа - по разработке профилей защиты и заданий по безопасности и по анализу уязвимостей. Последний, в свою очередь, состоит из двух частей - по использованию доступных источников для идентификации потенциальных уязвимостей и по тестированию на проникновению (пентестам).

Кстати, по анализу уязвимостей ФСТЭК готовит еще один, безусловно интересный документ - методику анализа уязвимостей и недекларированных возможностей программного обеспечения. Это давно назревший документ, который позволит проводить анализ на отсутствие НДВ даже при отсутствии исходных кодов устаревшего ПО или ПО, происходящего из других государств.


Из важного: ФСТЭК планомерно добивается того, чтобы заявители на сертификацию включали в документацию на свою продукцию требования по порядку обновления и информирования потребителей об обновлении и способах его получения. То, что так усложняло жизнь многим заказчикам, которые не знали, где взять сертифицированные обновления, теперь постепенно сходит на нет. ФСТЭК на конференции несколько раз повторил, что они будут сильно "драть" заявителей, не соблюдающих эти правила.


Тоже касается и включения соответствующих разделов в документацию для пользователей:


Что касается методички по моделированию угроз, то я уже про него высказывался. Виталий Сергеевич Лютиков назвал срок - конец марта 2016-го года. Стоит подождать.

16.2.16

Конференция ФСТЭК: новые требования к средствам защиты

Вспомните вот эту картинку:


Она была представлена на конференции ФСТЭК в феврале 2015-го года, то есть ровно год назад. А теперь посмотрите вот на эту картинку:


Она была представлена в одном из выступлений ФСТЭК осенью 2015-го года. Прошло всего полгода, а какие изменения произошли в ней - на первые два места вышли требования к операционным системам и системам управления базам данных.

А вот картинка уже этого года. Из списка исчезли требования к средствам разграничения доступа (управление доступом осталось), средствам ограничения программной среды и средствам контроля целостности. При этом добавились требования к... фанфары, SIEM.


Значит ли это, что ФСТЭК отказалась от упомянутых выше РД? Нет! Я еще раз напомню, что задачей ФСТЭК, озвученной несколько лет назад, является выпуск требований, закрывающих все меры защиты, упомянутые в 17/21/31-м приказах и которые могут быть закрыты именно техническими решениями. Просто у регулятора по ходу работы меняются приоритеты и не всегда хватает ресурсов на то, чтобы выпустить все и в озвученные ранее сроки. Например, в списке отсутствуют требования к промышленным антивирусам, а они уже в проекте есть. Так и со всеми другими требованиями - они в проектах той или иной степени готовности есть почти по всем направлениям. Но рассылаться по экспертам для оценки они будут позже, по мере утверждения более приоритетных документов.

В Facebook по данному слайду были комментарии, что ФСТЭК физически не успеет к 1-му марта выложить на сайт для общественного обсуждения проекты РД по ОС и СУБД. Ну так этого и не планируется. ФСТЭК вообще проекты РД к средствам защиты в публичный доступ не выкладывает - они доступны только заявителям, разработчикам (не всем) и испытательным лабораториям. Вот к 1-му марта именно от них планируется получить замечания, принять или нет, и утвердить финальную версию.

Конференция ФСТЭК: межсетевые экраны

Судя по статистике ФСТЭК - межсетевые экраны являются самыми распространенными сертифицированными средствами защиты информации в России - они составляют четверть от общего числа. Поэтому неслучайно, что ФСТЭК решила обновить давно необновляемые (с 97-го года) требования к МСЭ. Приказом №9 от 9 февраля 2016 года были утверждены новые требования к ним, которые начнут применяться с 1-го декабря 2016-го года. Это, пожалуй, первый пример, когда ФСТЭК обновляет (хотя правильнее было бы сказать “переписывает”) ранее выпущенный РД с требованиями к средствам защиты. Пока такой чести не удостоился ни РД на АС (и врядли удостоится), ни РД на СВТ, ни РД на НДВ (а вот это стоит ожидать).

Что обновилось в новом документе? На самом деле все, но я бы выделил несколько ключевых моментов:

  • Число классов защищенности МСЭ стало 3 для гостайны и 3 для обычных информационных систем (вместо 5-ти по прежнему РД на МСЭ). Мотивация такого изменения проста - на 5-й и 1-й классы мало кто сертифицировался (да и на 2-й было всего несколько решений). Да и классов защищенности ГИС и АСУ ТП три и поэтому соотносить их с классами МСЭ гораздо проще. 
  • Вместо плоской классификации сетевых МСЭ ФСТЭК ввела еще один критерий классификации - тип МСЭ. Выделяется 5 типов - А (уровень сети), Б (уровня логических границ сети), В (уровень узла), Г (уровень Web-сервера) и Д (промышленные МСЭ). Деление между ними достаточно простое, МСЭ типа А - это периметровая железка (только железка). Б - это аппаратный или виртуальный МСЭ, который может стоять только внутри сети. Если вы хотите поставить виртуальный МСЭ на периметре, то на сертификацию надо будет подавать комплекс - виртуальный МСЭ + аппаратная платформа, на которой он работает. Тип В очевидно размещается на защищаемых узлах и по версии ФСТЭК может иметь только программное исполнение. Что делать с МСЭ в сетевых картах не совсем понятно, но таких решений не так уж и много на рынке. Тип Г - это обычные WAF (Web Application Firewall), которые так популярны у отечественных стартаперов (PT WAF, Wallarm, Tempesta FW). Тут ФСТЭК, на мой взгляд, допустила промашку - совершенно выпал из ввиду такой класс МСЭ, как NGFW. Либо именно его надо было делать типом В, либо не выносить WAF в отдельный класс. В принципе, я понимаю мотивацию ФСТЭК, но со стороны это выглядит не совсем логично. Можно попробовать NGFW сертифицировать как МСЭ типа А или Б, но время покажет, насколько это будет адекватно.
  • Помните, я писал про проект документа ФСТЭК, который так и не увидел свет, и в котором говорилось о том, что средства защиты должны оцениваться с трех точек зрения - функционал, среда функционирования и требования к разработке (уровни доверия). В новом РД все эти пункты нашли свое отражение. Во первых были усилены основные, функциональные требования к МСЭ.

  • Коренным образом были переработаны и расширены требования к доверию. Учитывая, что львиная доля МСЭ на российском рынке разработаны не в России, а эксалация киберугроз все нарастает и нарастает, регулятору ничего не остается как усиливать контроль за процессом разработки, поставки, обновления межсетевого экрана.

  • Обратите внимание, что и в данном документе ФСТЭК не смогла пропустить раздел про анализ уязвимостей. Регулятор требует выстроить процесс обнаружения и устранения уязвимостей в подаваемом на сертификацию изделии. Как представитель разработчика самых популярных в мире и России (что доказывает статистика продаж в мире и в России) межсетевых экранов, могу сказать, что уже сейчас при согласовании документов на сертификацию этой теме уделяется огромное внимание и без данного раздела продукт на сертификацию просто не принимается.
  • Также не принимается на оценку соответствия МСЭ, для которого не расписана процедура его обновления - устранения уязвимостей, установки патчей, обновления ядра системы защиты и т.п.

На очевидно возникший вопрос о действии уже выданных сертификатов ФСТЭК здраво отмечает, что закон обратной силы не имеет и уже используемые МСЭ можно продолжать использовать - пересертифицировать ничего не надо. Как минимум, до окончания срока действия сертификата. Да и после, если среда и условия функционирования не менялись, - тоже.

Документ ушел на регистрацию в Минюст, а сами профили и типовые методики тестирования, дополняющие данный документ, находятся в финальной стадии разработки (их согласовывать ни с кем не надо).



15.2.16

Конференция ФСТЭК: требования по защите

Ну вот и обещанный рассказ о планах по нормотворчеству ФСТЭК. Тут тоже надо сразу оговориться. Виталий Сергеевич Лютиков сразу признался, что при численного людей, занимающихся нормотворчеством, а это 6 человек, не всегда удается следовать озвученным ранее планам. По этой же причине и в плане ФСТЭК указано гораздо меньше документов, чем может появиться в реальности.

Итак, ключевые изменения коснутся, как я уже и писал, 17-го приказа, распространяющегося пока на государственные и муниципальные информационны системы, а в перспективе и на иные системы, обрабатывающие государственный информационный ресурс. Проект новой редакции 17-го приказа уже готов и в ближайшие несколько дней должен быть выложен на сайт ФСТЭК. Правда, есть вероятность, что изменений туда внести уже не получится. Все-таки, ФСТЭК собирала эти предложения весь прошлый год (формально - до апреля прошлого года). Кто не успел это сделать тогда, могут, конечно, попытаться, но я бы не рассчитывал на то, что их голос будет услышан.

Чтоже стало отличительной чертой новой редакции 17-го приказа?

  • Перенос места моделирования угроз со стадии формирования требований на стадию разработки системы защиты. Сделано это было специально и вполне осознанно. И это еще раз подчеркивает, что ФСТЭК действительно сфокусирован именно на госорганах, а не на коммерческих предприятиях. Ведь когда по уму надо моделировать угрозы? Как можно раньше, то есть на этапе формирования требований к информационной системе. Но в госорганах на этом этапе еще нет финансироваия и моделировать угрозы прочто не на что. Отсюда нелогичный, но обоснованный с практической точки зрения перенос данного этапа.
  • Добавляется 5 новых документов, определяющих правила и процедуры (политики) защиты информации. Из зала сразу прозвучал вопрос о том, не планирует ли ФСТЭК разработать шаблоны документов, которые можно было бы использовать в деятельности организаций. Представитель ФСТЭК сразу же ответил, что в планах такого нет и при проверках они больше смотрят на содержание (а оно как раз описано в 17-м приказе), а не на форму организационно-распорядительной документации. Я, правда, надеялся услышать еще про проект ГОСТа, который должен быть установить формы (шаблоны) пару десятков типовых документов, требуемых при проведении аттестации и лицензировании (паспорт на ИС, границы контролируемой зоны и т.п.). Проект этого ГОСТа пару лет назад рассматривался в ТК 362, но с тех пор про него что-то ничего не слышно.
  • Одним из революционных и при этом ни на что не влияющих изменений стал отказ от 4-го класса ГИС и переход на 3-хуровневую классификацию информационных систем (как в 31-м приказе). Обусловлено это было двумя вещами. Первая - в надзорной деятельности ФСТЭК ГИС 4-го класса не встречались ни разу, что и привело к мысли о его ненужности. А вторая (ее не озвучили, но судя по всему она тоже подтолкнула к принятому решению) - переход ФСТЭК на новые РД с требованиями к средствам защиты информации. В них принята схема с 6-ью классами защищенности (3 для гостайны и 3 - для остальных видов информации ограниченного доступа или защищаемых информационных систем). В прежней редакции 17-го (да и 21-го) приказа была достаточно сложная схема с соотнесением классов защищенности средств защиты и классов защищености информационных систем (с подключением к Интернет или без оного). С переходом же на трехуровневую схему соотнесение стало очень простой задачей (6 класс средства защиты - 3-й класс ГИС, 5 класс средства защиты - 2-й класс, 4 класс защиты - 1-й класс).
  • Зато ФСТЭК явно потребовала сертификации средств защиты на 4-й уровень отсутствия НДВ, если они планируются применяться в государственных информационных системах. Раньше это требование тоже было, но не формализовано. С принятием новой редакции минимальный уровень НДВ будет явно требоваться от любого нового средства защиты. Обратите внимание - нового! К уже приобретенным средствам защиты это требование не применимо (закон обратной силы не имеет).  
  • В 17-й приказ добавили 9 новых блоков защитных мер. 2 из них уже были включены в 21-й приказ - управление инцидентами и управление конфигурацией. Еще 5 взяты из 31-го приказа - безопасная разработка, управление обновлениями, планирование мероприятий по обеспечению защиты информации, информирование и обучение персонала, анализ угроз и рисков (6-й блок из 31-го приказа, про действия в нештатных ситуациях, в новую редакцию 17-го не вошел). Наконец, было добавлено два совсем новых блока защитных мер - защита информации при использовании мобильных устройств и управление потоками информации.
  • Особое внимание в новой редакции 17-го приказа уделено обеспечению непрерывного совершенствования уровня защиты информации за счет регулярного анализа защищености (уязвимостей), который выходит за рамки обычного мероприятия для “галочки” (но об этом позже).

Вот такие изменения грядут для государственных информационных систем и, возможно, в перспективе, для иных систем, обрабатывающих государственные информационные ресурсы. Срок вступления обсуждаемых поправок пока не известен - предположу, что стоит отсчитать не более 6 месяцев с момента регистрации документа в Минюсте. И если это произойдет примерно в апреле, то новый 17-й приказ вступит в силу осенью этого года. Хотя в условиях непростой экономической ситуации и правил бюджетирования многих госорганов, я бы на месте ФСТЭК, ввел этот приказ с 1-го января 2017 года.

Конференция ФСТЭК: в прицеле - госорганы

В конце декабря я уже писал про план нормотворческой деятельности ФСТЭК, опубликованный у нее на сайте. В нем было не так уж и много информации, что вызвало определенные вопросы у специалистов. Но вот на прошлой неделе прошла конференция ФСТЭК, которая расставила если не все, то многие точки над i. В этой, и ряде последующих заметок мне бы хотелось сфокусироваться на ключевых на мой взгляд моментах, которые ожидают специалистов по информационной безопасности в этом и следующем году.

Начну с того, что основным “разводящим” на мероприятии был, как и в прошлом году, начальник 2-го Управления ФСТЭК, Лютиков Виталий Сергеевич. Именно он модерировал конференцию, он сделал первых два доклада, он отвечал на основные вопросы. Поэтому к словам Виталия Сергеевича стоило прислушиваться не только в рамках его доклада, но и по ходу выступлений других его коллег по цеху и по отрасли.

В частности, прозвучала не раз уже звучавшая, но многими пропущенная мимо ушей мысль, что ФСТЭК не занимается регулированием обработки персональных данных. И защитой персональных данных она занимается постольку поскольку. Эта тема вообще мало звучит в последнее время на мероприятиях регулятора и в плане проверок. У ФСТЭК одна основая задача - государственные и муниципальные органы. Именно ей посвящены основные документы регулятора. Именно на нее брошены все немногочисленные (по сравнению с тем же 8-м Центром) силы. Именно безопасность государственных информационных систем и государственных информационных активов волнует ФСТЭК и, в частности, 2-е Управление. Поэтому опасения, что ФСТЭК будет ходить и “мочить” операторов персональных данных по ПП-1119 и участников платежных систем по ПП-584, на мой взгляд, безосновательны. Да и ушедший год доказал, что эти опасения не оправдываются. У ФСТЭК физически нет столько ресурсов, чтобы гоняться за банками и операторами персданных, которые еще и будут спорить по поводу легитимности 21-го приказа и трактовок 584-го Постановления Правительства. Кстати, косвенным подтверждением этому факту стало выступление Кубарева Алексея Валентиновича, советника ФСТЭК. У него в презентации упоминались не уровни защищенности персональных данных, а классы их защищенности. А мы прекрасно помним, что от классов защищенности в теме персданных отказались еще в 2011-м году. Ну и, наконец, стоит отметить, что про новую редакцию 21-го приказа (что было бы логично в свете поправок в 17-й) не было сказано ни слова.

Вторая очень важная мысль, которая была интерпретирована многими участниками мероприятия не совсем верно. Касалась она внесения поправок в трехглавый 149-ФЗ. Было озвучено о планах внести изменения в части расширения действия ряда статей закона не только на государственные информационные системы, но и на иные системы, в которых обрабатывается государственные информационные ресурсы. Ряд экспертов транслировал эту идею в “требования 17-го приказа распространятся не только на ГИС, но и на все остальные ИС в госорганах”. Это не совсем верно. Государственные информационные ресурсы могут обрабатываться не только на государственных и муниципальных предприятиях. Они могут присутствовать и у коммерческих предприятий, например, в ФГУП/ГУП/МУП. А еще они могут присутствовать в случае реализации каким-либо коммерсантом госзаказа. Или, например, когда госорган обращается за услугой аутсорсинга коммерческого ЦОДа, который в этом случае тоже попадет под действие планируемой поправки. Наконец, в государственных корпорациях тоже обрабатывается информация, владельцем которой является государства, то есть государственный информационный ресурс.

В ближайший месяц этот законопроект появится на regulation.gov.ru, но судьба его еще туманна. По словам Виталия Лютикова, они уже не первый раз вносят это предложение в законопроект, но оно не доходит даже до первого чтения - многие ведомства на этапе обсуждения этой инициативы высказываются против (что и понятно).

С этой инициативой связано еще два озвученных на конференции момента. Первый - касательно аттестации. Очевидно, что если предлагаемая поправка все-таки пройдет через Федеральное Собрание и Президента, то число систем, подпадающих под требование аттестации увеличится многократно. И если сейчас многие госорганы всеми правдами и неправдами уходят от аттестации своих внутренних систем (кадры, бухгалтерия и т.п.), то в случае принятия поправок этот фокус уже не пройдет. А где взять денег на аттестацию? На это представитель ФСТЭК ответил, что планируется внедрение дифференциального подхода к аттестации как к форме оценке соответствия в зависимости от класса защищенности информационной системы. Об отмене аттестации для низшего класса ИС речи не шло - только о дифференциации требований.

Второй момент связан с пресловутой служебной тайной. Из зала прозвучал вопрос о том, когда же будут установлены требования по ее защите, на что Виталий Сергеевич Лютиков высказал затаенную боль. По его словам они, по поручению Президента, уже неоднократно подавали свои предложения и проекты нормативно-правовых актов в этой области, которые почему-то буксуют в эшелонах власти. Причин он не озвучивал, но могу предположить, что чиновники просто не хотят вешать на себя такие вериги. Одно дело иметь мифическую субстанцию под названием “служебная тайна” и постоянно про нее говорить и даже иногда упоминать в своих документах. И совсем другое дело получить обязательные к исполнению требования, за нарушение которых предусмотрена вполне конкретная ответственность. Вот ляпнет сейчас какой-нибуд чиновник в телевизоре нечто, разглашающее служебную тайну, и ничего. А в случае принятия поправок в законодательство еще и наказать ведь могут. Так что, я бы не ждал особо поправок в законодательство по части служебной тайны. Вон, законопроект уже скоро как 10 лет пылится в Госдуме. Так что…

Ну что-то я расписался, а до обзора планов нормотворчества так и не добрался. Ну ничего, в следующей заметке напишу. Куда нам спешить, новости с начавшейся в Магнитогорске конференции по информационной безопасности финансовых организаций (не только банков) пойдут только во вторник; да и то только в Твиттере (или по тегу #ibbank). Так что ближайшие дни можно посвятить разбору всего сказанного прямо и между строк на конференции ФСТЭК, материалы, которой, кстати, выложены уже на сайте организаторов. Кто не зарегистрирован на нем, может обратиться по этой ссылке и скачать все без регистрации.

12.2.16

Моделирование угроз для BIOS / UEFI (презентация)

Вчера на конференции ФСТЭК я выступал с темой "Моделирование угроз для BIOS / UEFI", в которой попытался за ограниченный интервал времени объединить две муссируемые в последнее время темы - моделирование угроз и угрозы на аппаратном уровне. Получилось вот такая презентация.



Есть у нее и второй уровень восприятия. Она описывает подходы к моделированию угроз и сложности с их выбором, что и усложняет принятие методики моделирования угроз ФСТЭК. Перед регулятором стоит непростая задача - выбрать сбалансированный подход, который позволит выбирать государственным органам (а именно на них она в первую очередь направлена) актуальные угрозы. Но делать это надо просто, так как на местах специалистов нет, а те, что есть, не готовы пробираться через непростую методику, описанную в проекте. Чтобы не выпустить мертворожденный документ, которым никто не будет пользоваться, ФСТЭК и затягивает с его принятием.

ЗЫ. Обзор самой конференции опубликую в понедельник. Там было много интересного сказано как впрямую, так и между строк, поэтому торопиться публиковать обзор я не буду.

10.2.16

FireEye покупает Invotas

Не успел FireEye приобрести iSIGHT Partners, как он объявил о новом приобретении - компании Invotas International Corporation, компании занимающейся автоматизацией и оркестрацией технологий по ИБ. Сумма сделки не сообщается.

Что интересно, на перспективах компании с точки зрения рынка ни это приобретение, ни предыдущее не сказались - падение стоимости акций продолжается (за год уже в 4 раза).


Шифрование трафика - вторая палка ИБ о двух концах

О конфиденциальности информации говорят все и временами даже требуют ее обеспечения. Но мало кто задумывается о том, куда такие требования нас заводят? С одной стороны - да, приватность, тайна личной жизни, тайна переписки... Все это нам даровано Конституцией и вроде как является правом неотчуждаемым. Отсюда и рост объема зашифрованного трафика в Интернете согласно последним исследованиям Cisco.


Положительным образом на увеличение этого показателя влияет внедрение шифрования в различные стандарты (например, PCI DSS) и лучшие практики, которым начинают следовать многие организации и поставщики услуг. Например:

  • поставщики мобильного контента и сервисов, внедривших шифрование у себя по умолчанию,
  • видео-хостинги и настройки браузеров, включающих шифрование по умолчанию,
  • сервисы хранения и резервного копирования данных в режиме онлайн.


Доходит до того, что компании начинают применять шифрование даже в контролируемых зонах, в которых ранее это шифрование не требовалось, так как было сопряжено с необходимостью обновить инфраструктуру на более производительную, а также с различными законодательными препонами со стороны ФСБ. Но сегодня ситуация меняется - и оборудование становится более мощным и содержащим встроенные функции шифрования, и регулятора уже меньше заботит, что делают компании для защиты информации для собственных нужд. Ниже пример одного исследования компании Lancope, изучившей некоторое количество компаний и обратившей внимание на рост энтропии во внутренних сетях предприятий.


Но у шифрования есть и другая сторона. Во-первых, оно создает иллюзию защищенности, когда все внимание уделяется шифрованию в канале передачи данных, но совершенно забывается про шифрование данных в местах их хранения (тех же центрах обработки данных). Во многих последних случаях утечки информации злоумышленники крали ценные данные именно в процессе их хранения, а не передачи. Но это не единственная проблема шифрования.

Им стали активно пользоваться и злоумышленники, скрывая свою деятельность от мониторинга или просто используя шифрование в недобрых целях (те же шифровальщики TeslaCrypt или CryptoWall). Контролировать такие потоки информации становится очень сложно, но и от шифрования отказа не произойдет ни с точки зрения ИБ, ни с точки зрения злоумышленников. Поэтому так важно использовать дополнительные механизмы анализа сетевого трафика, который позволяет мониторить сопутствующие параметры, не погружаясь в содержимое самих коммуникаций - Netflow, домены и IP-адреса и даты их появления на свет, репутацию взаимодействующих узлов и другие метаданные. Также важно не забывать про интегрированную безопасность, которая должна стоять не "в разрыв", как это часто бывает, а быть встроенной в сетевое оборудование, операционные системы, базы данных, сервера, рабочие станции и т.п. В этом случае работа с зашифрованным трафиком будет более эффективной, чем попытка перенаправить его куда-то для расшифрования.

Есть и третья сторона у применения шифрования. Откуда ни возьмись у нас возникает государство с его требованиями по обеспечению национальной безопасности, защиты от террористов и экстремистов, и т.п. безусловно важными вопросами. Возьмем, к примеру, последнюю инициативу наших властей, о которой я на днях писал. Спецслужбы и иные заинтересованные лица по сути признаются в неспособности повсеместно установленных элементов СОРМ решать стоящие перед ними задачи. СОРМ, традиционно ориентированный на обычную голосовую связь, неплохо справлялся с этой задачей, так как шифрование в обычной телефонной сети не применялось никогда, а в мобильной - спокойно обходится на уровне оператора мобильной связи (голос шифруется только от телефонного аппарата до базовой станции).


С контролем данных и Интернет ситуация гораздо сложнее - там шифрование можно легко сделать сквозным и никакой СОРМ тут не сильно поможет. А тут еще и переломный момент в использовании шифрования - свыше 50% трафика в Интернет стало неприступным для анализа спецслужбами. Поэтому остается только одна - либо запрещать шифрование вообще (что маловероятно), либо заставлять всех депонировать ключи шифрования и делиться сертификатами открытых ключей для "законного" вклинивания в поток данных, как пытались сделать в середине 90-х годов в США в рамках проекта Clipper, либо развивать негласную СОРМ.

Что характерно, "разоблачения" Сноудена, как раз являются демонстрацией третьего пути борьбы с шифрованием, по которому пошли спецслужбы США. Запрещать что-то в самое демократической стране никому и в голову бы не пришло. Требовать от Facebook, Twitter, Microsoft публичного отказа от конфиденциальности депонирования ключей бессмысленно (опять же демократия мешает). Остается только одно - развивать технологии негласного съема информации, а также принуждать Интернет-компании делиться информацией по секретным решениям секретного суда.

Россия сейчас тоже вплотную подошла к этой дилемме, с которой США столкнулись 20 лет назад, начиная проект Clipper, Capstone и Skipjack. Мы пока выбрали второй путь, так как первый является ну очень уж одиозным (а главное, что террористы и экстремисты все равно плевать будут на этот запрет), а третий плохо работающим и не масштабируемым (достаточно вспомнить, как Twitter, Google и Facebook "посылали" Роскомнадзор с его запросами относительно блокировок аккаунтов, публикующих нелицеприятные для российских властей сведений).

Вот такая история у нас получается с шифрованием. И какой будет ее финал пока непонятно...

9.2.16

Надежность - палка безопасности о двух концах

В последнее время очень часто приходится слышать о том, что мол сегодня производители ИТ-продукции не заинтересованы в выпуске надежной продукции и специально делают продукты так, чтобы они "жили" не больше 1-2 лет, тем самым заставляя пользователей переходить на более дорогие новые модели своих товаров. При этом все приговаривают, что, мол, в прошлом, такой проблемы не было и оборудование или софт могли работать годами, не требуя обслуживания и обновлений. Возможно, что среди производителей ИТ действительно есть заговор, который направлен на "вымогательство" денег у пользователей, подсевших на новомодные гаджеты (в т.ч. и корпоративные), но поговорить мне хотелось бы о не об этом, а о пресловутой надежности, которая... становится угрозой для безопасности.

Да-да, именно так. Надежность играет злую шутку со специалистами, которые просто забывают про наличие в своем парке целого спектра давно и надежно работающих систем. Давайте возьмем к примеру статистику по оборудованию Cisco. Недавно мы проанализировали 115 тысяч устройств и выявили интересную, но печальную тенденцию, которая очень хорошо доказывает известное многим айтишникам правило "работает - не трогай". 92% проанализированных нами устройств, доступных через Интернет, содержало известные уязвимости и их среднее число составляло 26 на устройство. Легендарная надежность Cisco привела к тому, что про это оборудование многие "забывали", уделяя внимание более уязвимым платформам.


При этом многие организации применяли в своей сети устаревшее программное обеспечение, которое уже снято с производства. Причем в списке "лидеров" - розничные предприятия, страховщики, банки и ИТ-компании.


Еще интереснее выглядит ситуация с организациями, которые используют не просто устаревшее и уязвимое ПО, но ПО, для которого наступил уже срок завершения поддержки. А это значит, что никаких обновлений они уже не получат, что открывает двери злоумышленникам. Оборудование же по-прежнему надежно работает и выполняет стоящие перед ним задачи. Тут в лидерах банки, которые славятся своим консерватизмом, но в данном случае это уже перебор.


Все это следствие фактора времени и отсутствия необходимости пересмотра своей стратегии развития сети и ИБ. Многие компании строили свои сети еще десять лет назад и с тех пор практически ничего в них не меняли, следуя уже упомянутому принципу "работает - не трогай" и ссылаясь на дороговизну обновления. Однако с момента создания сети ситуация сильно поменялась - и зависимость от инфраструктуры существенно выросла, и злоумышленники стали более активными, чем 10 лет назад.

Вывод из этой неутешительной статистики ясен - если этого еще не сделано, то пора внедрять процесс управления изменениями и управления конфигурацией в информационной системе предприятия. А иначе верх над этим процессом возьмут злоумышленники со всеми вытекающими отсюда последствиями и по-прежнему надежно работающим оборудованием.

ЗЫ. Цифры взяты из ежегодного отчета Cisco по информационной безопасности.

8.2.16

Очередной мертворожденный законопроект по ИБ в России

В прошлом апреле я писал про проект законопроекта (да-да, именно так) "О мерах по обеспечению информационной безопасности Российской Федерации" и вот, спустя девять месяцев, законопроект внесен в Государственную Думу тем же депутатом Потаповым.

Что нам предлагает депутат в разрезе обеспечения информационной безопасности и что должен рассматривать комитет по информационной политике (а не безопасности):

  1. Создать реестр ВСЕГО ПО, разработанного в России, включая и его исходные коды, а также средства разработки и отладки.
  2. В реестр включается только то ПО, которое не содержит недокументированных функций и иных уязвимостей.
  3. В реестр можно включать и иностранное ПО, а если исходных кодов по нему нет, то на на включение такого ПО в реестр нужно отдельное решение Правительства.
  4. Вводится понятие базового ПО (БПО), то есть ОС, СУБД, СрЗИ, VPN и т.п., на базе которых строится все остальное ПО и информационные системы.
  5. За разработку ПО для анализа защищенности БПО и информационных систем должно отвечать Правительство, которому, как известно, ни ФСТЭК, ни ФСБ, не подчиняются, будучи в непосредственном подчинении у Президента.
  6. Правительство также должно формировать госзаказ на специалистов в области защиты информации и анализа защищенности.
Это тезисно я выделил ключевые положения нового законопроекта, шансы которого, я оцениваю как нулевые. Он совершенно отвязан не только от реальности, но и от уже сделанных шагов по части импортозапрещения. Об этом же говорит и отзыв Правительства на законопроект. Зато интересно ознакомиться с расчетами депутата на адаптацию и разработку базового ПО и средств защиты. Если верить депутату, на реализацию всех мер по обеспечению ИБ России необходимо не более трех лет и всего 32,2 миллиарда рублей.

Еще 20 миллиардов рублей, по оценкам уже иностранных экспертов, Россия готова ежегодно тратить на разработку кибероружия (сколько РФ готова тратить на кибероборону эксперты умалчивают, но думаю порядок тот же). Но это уже другая история...

5.2.16

Лицензия ТЗКИ для собственных нужд больше не потребуется

На портале проектов нормативных актов выложен неприметный документ с неприметным названием: "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности", который при этом касается именно нашей с вами темы, а точнее вопросов лицензирования деятельности по технической защите конфиденциальной информации (ПП-79).

Самое главное, что предлагается изменить, - в явной форме зафиксировать мысль, что лицензия для обеспечения собственных юрлица или индивидуального предпринимателя не требуется. Если этот документ примут в такой редакции, то наконец-то будет поставлена точка в вопросе - нужно или нет получать лицензию на ТЗКИ для защиты собственной информации (например, при реализации положений ФЗ-152).

А вот что касается тех, кто предоставляет услуги по защите информации третьим лицам, их новый проект положения коснется в полной мере. Среди нововведений:

  • Требование лицензии на ТЗКИ при проведении мониторинга ИБ. То есть все SOCи и иже с ними потребуют получения соответствующей лицензии от регулятора.
  • Наладка средств защиты также теперь потребует лицензии ФСТЭК.
  • Четко прописаны требования к квалификации и количеству персонала у лицензиата.
  • Оборудование, необходимое для выполнения лицензионных работ, теперь должно быть только в собственности лицензиата. Больше никакой аренды.
  • Требование наличия системы менеджмента ИБ в соответствие с требованиями национальных стандартов. Иными словами, теперь все лицензиаты ФСТЭК должны у себя реализовывать ISO 27001. Что интересно, при подаче документов на получение лицензии необходимо представить копии документов, подтверждающих наличие такой системы менеджмента. Что это за документы? Сертификат соответствия, выданный BSI или иным органом по сертификации?
  • Появилось требование обязательного повышения квалификации один раз в пять лет.
Что можно сказать в качестве резюме по данному проекту нормативного акта. ФСТЭК снимает обременения с тех, кто занимается защитой для себя (а точнее ставит точку в бесконечных спорах о необходимости получать лицензию для собственных нужд). И это позитивно. С другой стороны, требование иметь собственное оборудование повышает порог вхождения в этот бизнес (оборудование недешевое). А уж требование иметь сертификат по 27001 и вовсе существенно сужает число потенциальных игроков этого рынка, оставляя только тех, кто реально понимает, что и зачем он делает. "Старперам от аттестации" больше не место в этой области.

Вторая часть проекта постановления посвящена внесению изменений в ПП-171, посвященное лицензированию деятельности по разработке средств защиты конфиденциальной информации. Тут изменения схожи с вышеописанными:
  • Четко прописаны требования к квалификации и количеству персонала у лицензиата.
  • Оборудование, необходимое для выполнения лицензионных работ, теперь должно быть только в собственности лицензиата. Больше никакой аренды.
  • Наличие системы менеджмента качества (ISO 9000), а также реализацию стандарта (пока проекта) по безопасному программированию (SDLC).
Собственно, ключевое изменение - последнее. Раньше наличие сертификата соответствия ISO 9000 не требовалось при получении лицензии на разработку средств защиты. С одной стороны это позитивный момент, так как с рынка уйдут фирмы-однодневки, решившие на волне импортозамещения по-быстрому состричь денег за счет выпуска какой-нибудь поделки. С другой - требование сертификации системы менеджмента качества выводит за скобки нарождающиеся стартапы, которые не смогут вкладываться в эту статью затрат пока не продадут достаточно количества своих решений. А продавать они их смогут только коммерческим компаниям, которым не требуется сертификация средств защиты (сертификат может быть выдан по сути только лицензиату). Так что решение неоднозначное, но интересное.

ЗЫ. Желающие могут высказать свои предложения (а не критику) на странице законопроекта.

2.2.16

"Налог на Гугл" не самое страшное в поручении Президента или когда в России запретят западную криптографию?

Вчера многие СМИ, анализируя список поручений Президента, писали только про "налог на Гугл", поставив его на первое место. У меня немного иная точка зрения по поводу последствий принятия нормативных актов, которые вытекают из этих поручений.

12-м пунктом в поручении Президента значится регулирование вопросов шифрования данных в отечественных сетях связи. Сначала я думал, что это та идея, которая уже звучала многократно на разных открытых и не очень площадках - отделить государственную криптографию от гражданской. Но потом обратил внимание, что за нарушение новых требований по шифрованию данных в российских сетях связи предлагается наказывать. А значит речь идет не о послаблениях, а об ограничениях.

Потом вспомнилась озвученная на форуме идея по мониторингу зашифрованного трафика иностранных соцсетей и Интернет-сервисов, а потом и прошедшая немного в стороне новость о введении с 1-го января 2016-го года в Казахстане узаконенного MITM (Man-in-the-Middle), то есть перехвата и расшифрования всех передаваемых данных. Видимо, эту идею решили внедрить и у нас. Понятно, что для борьбы с терроризмом и экстремизмом. Нельзя же подумать, что государство, которое так заботится о правах граждан и постоянно упоминает о необходимости обеспечения конфиденциальности персональных данных и других видов тайн, хочет получить доступ к этой информации для каких-то своих, не очень понятных целей.

Меня в данном поручении интересуют чисто технологические нюансы реализации. На кого распространят требования будущего нормативного акта? На иностранных владельцев социальных сетей и Интернет-сервисов, работающих в России? Или на иностранных владельцев Интернет-сервисов, которые и слыхом не слыхивали об очередной юридической новации (как в случае с ФЗ-242, когда РКН распространяет его действие даже на зарубежные юрисдикции). В последнем случае лично меня интересует вопрос, значит ли это, что доступ к зарубежным Интернет-банкам или Интернет-брокерам будет перлюстрироваться российскими "фискалами" (или спецслужбами)?

Но еще более мне интересно узнать, попадут ли под действие предполагаемого законопроекта публичные или корпоративные VPN-сервисы? Не только SSL/TLS/DTLS/IPSec с мобильных устройств, но и межофисный  Site-to-Site VPN? В свое время, после ряда поездок в дружественный нам Китай, российские чиновники и сотрудники определенных структур, загорелись идеей заблокировать применение в России всей западной криптографии. Тогда это не получилось, но идея взять под контроль трансграничные потоки данных засела у некоторых в голове прочно. Потом г-жа Мизулина с ЛГБТ, ЛБИ (Лигой безопасного Интернета) носились с идеей запрета и введения уголовной ответственности за использование анонимайзеров и сети Tor (тоже не прошло). И вот новый виток интереса к данному вопросу, исходящий уже из уст самого Гаранта Конституции, в которой, как известно, говорится и про тайну переписки, и про невмешательство в личную жизнь (кроме как по решению суда). Но по миру идет уже не призрак коммунизма, а призрак терроризма, который заставляет поступиться некоторыми правами граждан и ввести определенные ограничения на свободы, в том числе и в Интернет. В конце концов, даже демократические США такой фокус провернули, о чем нам поведал Сноуден, которого никто никогда вживую не видел и не слышал. Почему же другой демократической державе нельзя сделать тоже самое?

И что будет с теми, кто откажется пустить уполномоченный орган к передаваемым данным? Видимо им запретят доступ на территорию России (и к ним с территории России). Одновременно решается сразу много задач - и запрет анонимизации, и раскрытие воров интеллектуальной собственности, и раскрытие заговоров террористов и экстремистов, и борьба с пятой колонной, и контроль тех, кто хочет хранить свои сбережения в иностранных финансовых организациях, забыв поделиться с государством... Да много еще каких применений можно найти в случае контроля всей зашифрованной переписки. Мечта любой спецслужбы мира...

Разумеется, знатоки практической криптографии могут задаться вопросом, а как тогда быть с такими технологиями как Certificate pinning или HTTP Public Key pinning (не говоря уже про HSTS), специально разработанными для борьбы с MITM? Но на этот вопрос я ответить не могу. Пока не могу. Ведь пока никакого законопроекта нет - есть только поручение Президента на 4 строчки, из которого я уже высосал целую заметку. Может я просто раздуваю из мухи слона? А может быть и нет... Посмотрим. До 1-го июня ждать осталось недолго; ведь именно к дню защиты детей приурочили завершение формирования указанных предложений.

PS. Фонд "Общественное мнение" уже посчитал, что 3/4 россиян согласны с прослушкой своей Интернет-переписки. То есть общественное мнение уже подготовлено :-(