26.3.18

Интеллектуальная криптоигра "Где логика": как это было на #ruscrypto

Про игру "Где логика", посвященную криптографии, я уже писал. Особого смысла повторяться я не вижу, просто хотел привести в качестве примера некоторые загадки, которые пытались разгадать участники игры. В отличие от первоначального плана найти 2-3 команды по 4-5 человек желающих оказалось больше - набралось целых 5 команд численностью до шести участников. Получилось 5 раундов - разминка, "найди общее", "убери лишнее", "формула всего" и "киноребусы", целиком посвященных криптографии.


Уже в процессе ведения игры я понял, что некоторые загадки оказались совсем не на логику, а скорее на знание истории. Ну ничего, в следующий раз буду действовать более логично :-) В любом случае мне понравилось готовить задания - надеюсь, что и участникам они были интересны. Однако лишний раз убедился в том, что не все знакомы с историей криптографии, что на мой взгляд приводит к некоторой однобокости. С другой стороны геймификация позволяет заинтересовать специалистов по ИБ в изучении дисциплин, которые местами скучны.

С описанием предыдущих интеллектуальных игр "Своя игра" и "Брейн-ринг" можно ознакомиться тут, тут, тут и тут.

Как выбрать из сотен защитных мер самые важные? (презентация)

На РусКрипто я выступал с полуторачасовой презентацией, посвященной вопросу выбора из сотен и тысяч защитных мер самых важных, позволяющих не бросаться из стороны в сторону, а путем минимума усилий получить максимум защиты. За основу были взяты "горячая двадцатка" CIS Controls (бывший SANS Top 20) и 35 защитных мер австралийского регулятора DSD. При этом у последнего набора есть интересная особенность - группирование мер на основную четверку, восьмерку и уже потом на 35 мер. При этом, что характерно, основные меры не требуют особых затрат на реализацию. Топ 4 включает в себя application whitelisting (замкнутая программная среда), обновления приложений и ОС, а также контроль привилегированного доступа. Все это можно реализовать с помощью групповых политик и Windows Update Service (для Windows). По оценкам одна только эта четверка обеспечивает защиту от 85% угроз. Мелочь, но данные меры никак не противоречат отечественным НПА в виде приказов ФСТЭК или ГОСТа Банка России.



Теперь, если перед вами стоит вопрос, а какие меры защиты надо реализовать в первую очерель, у вас есть ответ в виде данной презентации.

16.3.18

Как категорируются критические инфраструктуры в разных странах мира (презентация)

Первоначальная эйфория относительно всего 12 отраслей, попадающих под понятие критической инфраструктуры, сменяется постепенно разочарованием. При полной размытости понятия "функционирующие в сфере...", упомянутом в ФЗ-187, и перекладывании ответственности за отнесение себя к КИИ на субъекта, ситуация становится абсолютно неуправляемой и непредсказуемой.

Я уже описывал кейс с облачными провайдерами, которые в первом приближении не являются субъектами КИИ, но при использовании критериев, упомянутых на конференции ФСТЭК (изучение уставных документов, анализ кодов ОКВЭД и т.п.), могут быть отнесены к таковым. И последние недели общения с различными компаниями показывают, что к КИИ могут относиться очень различные организации, которые даже и не думали об этом.

Например, небольшая логистическая компания, обслуживающая региональный город. У нее в уставных документах, как правило, прописано, что она оказывается транспортные услуги, то есть она, среди прочего, трудится в сфере транспорта. Это автоматически делает ее субъектом КИИ, если следовать трактовкам ФЗ-187, которые дают регуляторы. Про ломбарды, действующие в сфере финансового рынка, я уже писал раньше. Про районные поликлиники тоже.

Слишком большое число организаций попадают под требования нового законодательства, даже не подозревая об этом. Было ли это осознанным решением авторов ФЗ-187 или нет, я не знаю. Но сейчас, мне кажется, они уже и сами не рады тому, что получилось. Иначе как можно объяснить, что в нарушение закона, который требует уведомлять об инцидентах любого субъекта КИИ (в отличие от требования обеспечения безопасности, которое распространяется только на владельцев значимых объектов), ФСБ выпускает проект приказа, который описывает процедуру уведомления только для тех, у кого есть значимые субъекты. А что делать с незначимыми? В законе они есть - у ФСБ нет. Но прокуроры проверяют соблюдение законности и имеют полное право спросить у поликлиники или небольшого таксомоторного парка или ломбарда, почему они не соблюдают требования законодательства? И что отвечать последним? Очередной вопрос, который остается неотвеченным.

Выкладываю свою презентацию, которую я делал еще в январе, и которая описывает подходы к категорированию критических инфраструктур в разных странах мира.



15.3.18

Palo Alto покупает Evident.io

14 марта Palo Alto объявила о подписании соглашения о покупке американской компании Evident.io, которая занимается облачной ИБ и является, да-да, лидером и пионером этого рынка. Размер сделки - 300 миллионов долларов.

Security operations - от отдельных процессов до архитектуры SOC. Censored

На московском "Код ИБ. Профи" еще одним блоком представленных тем стали security operations (фиг знает, как это нормально перевести на русский язык). Этой теме в той или иной степени было посвящено несколько докладов. Один из них Сергея Рублева из компании "Инфосекьюрити", который поделился опытом создания собственного центра мониторинга ИБ, предназначенного и для предоставления услуг внешним потребителям.

В отличие от общепринятого пути создания SOC в России на базе ArcSight (или QRadar) в Инфосекьюрити пошли по пути создания центра мониторинга на базе Open Source компонентов.


Вообще это достаточно распространенная практика для компаний, которые не могут найти в готовых продуктах весь нужный функционал и при этом обладают достаточно мощной командой разработчиков, чтобы самостоятельно увязать в единый комплекс различные доступные компоненты и по необходимости доработать их.


Ровно такой же путь выбрала в свое время Cisco со своим решением OpenSOC; швейцарский CERN также пошел по этому пути. В столь замечательной компании теперь и Инфосекьюрити :-)


Вообще тема бездумной покупки решений неоднократно звучала на "Код ИБ. Профи". Ее поднимал Антон Карпов, Алексей Смирнов, Алекчей Качалин и другие спикеры. Разумеется, речь не шла о том, что надо все бросить и перейти на бесплатный или условно бесплатный open source. Просто выбор любого решения должен быть осознанным и соответствовать бизнес-целям предприятия, а не бездумным приобретением широко разрекламированного продукта. Опыт Инфосекьюрити показывает, что SOC на базе Spark, Hive, nxlog, nifi, Elastic и др., является вполне жизнеспособной конструкцией.


Если Сергей Рублев рассказывал об опыте строительства SOC, то Дмитрий Кузнецов из Positive Technologies об опыте эксплуатации их SOC в контексте реагирования на инциденты. Да, Positive достаточно активно работает с регуляторами и последние активно пользуются их опытом при реализации своих систем мониторинга ИБ и реагирования на инциденты. Так что в этом контексте рассказ Дмитрия имел дополнительную ценность.


Дмитрий рассказывал о том, как методологически (не зря Дмитрий руководит Департаментом методологии и стандартизации) выстраивать выстраивать SOC и его процессы, ориентированные на обнаружение и реагирование на инциденты, а также на иные сущности, между толкованиями которых постоянно идет путаница - событие, атаки, инцидент, угроза. Это, конечно, одна из проблем той же нормативки ФСБ по ГосСОПКЕ, но сейчас не об этом.


К сожалению, материалы не передают всего того, что рассказывал Дмитрий (поэтому стоит смотреть видео из пакета "КОНТЕНТ"), но множество советов из презентации пусть и звучат просто, но зато получены на основе практического опыта.


В заключение стоит рассказать о мастер-классе... Извините, коллеги, рассказа о третьем докладе не будет. Он был написан, но потом возник ряд обстоятельств, которые привели к тому, что я его решил удалить. И вообще больше никаких описаний с "Код ИБ. Профи" не будет. Прошу прощения у тех, кто пострадал от моего блогерства.

14.3.18

Реальные примеры повышения осведомленности по ИБ и киберучения для руководства

Начну короткие обзоры прошедшего в Москве "Код ИБ. Профи", где мне довелось быть куратором программы, которая была посвящена различным аспектам управления информационной безопасности. Одним из них является повышение осведомленности и обучение сотрудников разных уровней - от рядовых работников до топ-менеджмента. Этой теме изначально было посвящено 3 доклада, но один в последний момент не случился по уважительной причине. Поэтому расскажу только о двух из них.

Первый был сделан Кириллом Мартыненко из Сбербанка, который рассказывал об эволюции технологий повышения осведомленности, обучения сотрудников и формирования у них культуры ИБ. Учитывая практическую направленность мастер-класса и масштаб Сбербанка рассказ Кирилла оказался очень познавательным. Особенно учитывая манеру подачи материала, который описывал типовые подходы по "окультуриванию" с его плюсами и минусами.

Как и многие организации, Сбербанк тоже начинал с проведения различных тестов, этакого анахронизма в области обучения, который до сих пор активно реализуется многими компаниями ввиду его простоты, но полнейшей бесполезности для людей, не вовлеченных в ежедневный процесс обеспечения ИБ. Для неспециалистов все эти тесты - бесполезная трата времени, так как по их окончании мало что запоминается и тем более они не дают никаких навыков, которые и должны стать целью любой программы формирования культуры ИБ.


Как и тост, который должен быть коротким как выстрел, так и информация, доносимая до работников, должна быть короткой, четкой и понятной. И так как в мозг работников надо внедряться везде, где только можно (а не только через скринсейверы на компьютере), то для этой цели замечательно подходят плакаты, которые развешиваются в совершенно различных местах - в столовой, у мест печати, у лифтов и т.п.


Кирилл Мартыненко показал несколько примеров таких плакатов и рассказал о том, с какими особенностями их разработки и размещения пришлось столкнуться в Сбербанке.


Помимо пассивной информации, необходимо также регулярно проверять навыки работников по противостоянию постоянно развивающимся методам злоумышленникам. Кирилл рассказал о нескольких кампаниях, которые были запущены в масштабах Сбербанка для проверки того, насколько работают плакаты, тесты, скринсейверы и другие способы донесения правил ИБ до всех работников самого крупного банка страны. Например, интересная обманка в виде якобы созданной авиакомпании "Sberbank Airlines", которая предлагала билеты в разные части света "со скидкой". Учитывая различные сферы деятельности Сбера, такие рекламные сообщения, рассылаемые по электронной почте, выглядели вполне правдоподобно.


Аналогичную цель преследовала фишинговая кампания, посвященная "черной пятнице", эксплуатирующей желание людей получить что-то со скидкой и поучаствовать в благотворительности.


Но технологии погружения в мозг человека не стоят на месте и поэтому Сбербанк стал разрабатывать и внедрять различные игры, симуляции, заставки и ролики, созданные по технологии Flash. Одной из таких разработок стала интерактивная игра "Агент кибербезопасности", которая в игровой форме позволяет сотрудникам не только ознакомиться с нужными правилами ИБ, но и проверить их в виртуальном мире, повышая запоминаемость и вовлеченность.


Апофеозом мастер-класса, который проводил Кирилл Мартыненко, стал рассказ и показ применения виртуальной реальности в вопросах повышения осведомленности ИБ.


Кирилл продемонстрировал два VR-проекта, которые были уже реализованы в "зеленом банке". Первый - это обычная стрелялка, в качестве мишеней в которой выбраны различные угрозы ИБ, которые надо уничтожать с помощью виртуального оружия.


Второй проект - это виртуальное посещение Центра киберзащиты Сбербанка (SOC). На прошлогодней выставке RSA в Сан-Франциско было представлено немало проектов применения VR в ИБ (у нас в Cisco они тоже применяются) и вот теперь они доступны и в России. Да, понятно, что не все могут позволить себе внедрять такие инновации для формирования культуры ИБ, но сама демонстрация таких проектов была очень и очень интересной. 


В своем мастер-классе уже я продолжил тему геймификации в ИБ, но уже немного с другой стороны - я говорил о том, как проводить кибер-учения по кибербезопасности для топ-менеджмента руководства предприятия. Так случилось, что я до сих не могу забыть, как Рустэм Хайретдинов сказал год назад, что из меня хреновый докладчик. Запала в душу мне его критика и я стал погружаться в новые методы донесения информации до людей, отходя от лекционного монолога в сторону диалога, вовлечения участников в дискуссию, геймификации и т.п. А тут еще стали приглашать для выступления перед высокими начальниками различных компаний, которым бессмысленно рассказывать презентации, столь привычные для обычных ИБшников.


Так родилась тема проведения киберучений для топ-менеджмента, которые, безусловно, требуют совершенно иной подготовки, но и эффект от них будет коренным образом отличаться от пассивных и односторонних презентаций, которые люди слушают, но не редко запоминают, что там говорилось. Следая правилу, что из прочитанного усваивается только 10%, из услышанного - только 20%, из увиденного - 30%, из проработанного в упражнениях - 90%, именно вовлечение позволяет донести нужную информацию до столь непростой аудитории, такой как руководители разных мастей - CEO, CFO, CLO, COO и др.

Сложно пересказывать самого себя, поэтому выложу несколько слайдов с мастер-класса, который я читал на "Код ИБ. Профи". Правда, изначальный материал у меня получился не на час, который был выделен на конференции, а часа на 3-4 (а то и больше). Но пришлось ужиматься :-) 


Третий доклад по геймификации в ИБ должен был делать Вячеслав Борилин из Лаборатории Касперского, но по уважительной причине он не смог быть на мероприятии. Вячеслав должен быть подвести базу под тему геймификации и наши с Кириллом мастер-классы и на различных примерах показать, что лучше работает в разных форматах обучения – очном, онлайн, смешанном формате; в том числе и для разных аудиторий - рядовые сотрудники, руководители, топ-менеджмент. Увы, не получилось. Но Вячеслав обещал записать отдельный вебинар для участников "Код ИБ. Профи" - он будет выложен, как и все материалы, на сайте конференции.

ЗЫ. Участники "Кода ИБ. Профи" могут получить доступ к презентациями и видео всех мастер-классов в рамках своего приобретенного пакета. Для тех, кто не смог поучаствовать очно, но хотел бы ознакомиться со всеми материалами, есть возможность приобрести пакет "КОНТЕНТ", который не заменит личного присутствия и возможности задавать вопросы, но все-таки позволит погрузиться в практику управления ИБ от одних из лучших спикеров России по ИБ, которые преимущественно являются и практикующими специалистами в области кибербезопасности.

13.3.18

CyberArk покупает Vaultive

12 марта компания CyberArk, известная своими решениями по управлению привилегированным доступом, объявила о покупке частного провайдера облачной безопасности Vaultive. Сумма сделки не раскрывается.

Стратегия выхода безопасника возраста 45+: как не сдохнуть на пенсии

Одной из кулуарных тем Уральского форума по ИБ в кредитно-финансовой сфере стала, как ни странно, не кибербезопасность, не новые нормативы Банка России, не неизменный вкус пельменей или пухляк на горе, а стратегия выхода, то есть ответ на вопрос, что делать после ухода из профессии и как обеспечить своей семье и себе безбедную старость в наше нестабильное время, когда все накопления могут внезапно превратиться в тыкву, а недвижимость и бизнес могут отобрать. Понятно, что тема актуальна далеко не всем, но в прошлые годы она как-то на мероприятиях по ИБ не всплывала. А может я был моложе и мне было пофиг...


В советское время о стратегии выхода как-то никто особо не думал - все выходили на пенсию, получали от государства ежемесячную финансовую поддержку и жили вполне себе безбедно (на фоне общего уровня). После перестройки ситуация изменилась с точки зрения работы, но почти не поменялась в контексте будущей пенсии - государство ее гарантировало и выплачивало. Но сегодня ситуация поменялась кардинальным образом и надежды "авось пронесет" уже не сбудутся. Пенсионный Фонд строит для себя роскошные здания, но имеет огромную дыру в пенсионных накоплениях. Чиновники всех мастей регулярно дают руку на отсечение, что пенсионный возраст не будет повышаться, но после аналогичных заверений относительно денежной реформы 90-х, в это уже не веришь. Уровень доходов населения падает последние 4 года. Медицина улучшается только в победных реляциях Минздрава. Уверенности в том, что деньги, отчисляемые работодателем государству, останутся в целости и сохранности и будут выплачены по достижении 60 лет, нет. И возникает закономерный вопрос, стоящий перед россиянами несколько столетий: "Что делать?" (кто виноват, мы и так знаем).


Ты можешь сейчас обладать многомиллионными (в долларовом эквиваленте) бюджетами на ИБ и огромной властью. У тебя могут быть в подчинении сотни безопасников, а ИБ-вендора выстраиваются к тебе в очередь. У тебя есть знания и компетенции, которыми ты готов делиться. Но ты на х** никому не нужен уже в 45-50 лет. От тебя избавляются как от ненужного хлама, так как тебя подсидел тридцатилетний "юнец", имеющий корочку MBA, или компания решила омолодить свой состав, или ты просто не поспеваешь за изменениями в отрасли и начинаешь постоянно лажать. А может ты просто задумался о перспективах и не видишь их.


Что делать в такой ситуации? Тебе повезло, если у тебя есть квартира, оставшаяся с советских времен или от родителей или ты смог купить ее на доходы, полученные в лучшие времена. Но квартира требует постоянных вложений, как минимум, в размере постоянно растущей квартплаты. А еще есть супруга/супруг, которые также находятся на пенсии (хорошо, если у них будет адекватная пенсия). А еще есть дети, которым надо помогать (даже если вы думаете, что это дети должны помогать старикам-родителям). А еще хочется иногда есть не только хлеб и макароны, но и мясной фарш. Да и съездить иногда хочется не только в собес, но и в присоединившийся к России Крым или рождественскую Прагу.

Вот о том, что делать тем, "кому за 45", о том как выстроить стратегию выхода для безопасника, мы и будем говорить на дискуссии в рамках CISO Forum, который пройдет 23-24 апреля в Москве. Если вам есть что сказать или вы хотите услышать о положительном (и отрицательном) опыте коллег, то приходите - будет интересно. Никаких презентаций - только разговор по душам с теми, кто уже столкнулся с проблемой поиска себя в этом мире и строит свою стратегию выхода.


Список участников дискуссии (из давших свое согласие на данный момент):

  • Рустэм Хайретдинов
  • Василий Окулесский
  • Дмитрий Устюжанин
  • Алексей Лукацкий (вообще я буду модерировать, но меня эта тема тоже волнует - я в этом году перешагну психологический рубеж)
  • планируется еще 1-2 участника, которым есть что сказать.


ЗЫ. На ФБ в феврале эта тема собрала полторы сотни комментариев, что говорит об ее актуальности.

12.3.18

Использование DNS при расследовании инцидентов ИБ

Недавно мы проводили очередной виртуальный саммит, который был посвящен теме безопасности DNS и использования этого протокола при расследовании инцидентов ИБ (первый саммит мы посвятили теме фишинга и борьбы с ним). Не буду пересказывать 4 часа мероприятия, тем более, что часть его была посвящена решениям Cisco, а я стараюсь в персональном блоге не сильно злоупотреблять и рекламировать наши решения, но некоторые слайды позволю себе выложить, так как они, на мой взгляд, могут быть полезны.

Собственно, идея этих слайдов достаточно проста. При расследовании инцидентов у нас обычно перед глазами находится только адрес, с которого осуществляется атака или с которым идет взаимодействие скомпрометированного узла. Просто адрес - IP или DNS. Это точка отсчета, с которой часто начинается расследование инцидента.


Эту информацию мы берем из разных источников - внешних (например, ФинЦЕРТа, ГосСОПКИ, Лаборатории Касперского или Cisco) и внутренних (МСЭ, proxy, IPS или Neflow collector). Данные из внешних источников могут быть обогащены дополнительной информацией, которая, конечно, требует перепроверки. Но часто вы получаете просто адрес, который вам нужно блокировать, что, конечно, не совсем полезно с точки зрения расследования инцидентов.


При расследовании нам нужно ответить на ряд важны вопросов:


И вот тут нам может помочь как раз DNS-протокол, к которому мы так привыкли, что даже не замечаем того, что он нам может дать с точки зрения кибербезопасности. А дать он может очень многое:


Например, по длине FQDN можно отслеживать сайты, используемые для кражи информации. Также мы можем проанализировать названия доменов и попробовать идентифицировать уровень энтропии в них для идентификации DGA-доменов. Наконец, мы с легкостью можем понять, кто, когда и где регистрировал домен.


Больший объем этой информации можно выцепить с помощью обычных утилит, входящих в состав Windows, Linux или MacOS (например, whois или dig). Можно и различные web-сервисы под эту задачу задействовать, но они выдадут примерно ту же информацию.


Правда, у этих утилит есть один недостаток, который делает их пусть и полезными для расследования инцидентов, но все-таки не до конца. Они не дают сводной и ретроспективной информации об истории домена, о его взаимодействии с другими доменами, об истории IP-адреса или автономной системы, на которых "висит" домен, о том, какими еще доменами владеет автор исследуемого домена и т.п.?


Последние упомянутые сведения позволяют нам составить представление уже не только по отдельному домену, но по целой инфраструктуре, которую использует злоумышленник или злоумышленники при реализации атаки. И собирать данную информацию в ручном режиме уже затруднительно - нужен автоматизированный инструментарий для анализа DNS.


С помощью такого инструментария можно достаточно оперативно выследить сотни и тысячи доменов, находящихся в инфраструктуре злоумышленников. Может быть даже так, что эти домены еще не пустили в ход и только готовят к будущим атакам.


Я обещал, что не буду пересказывать четырехчасовой саммит, поэтому не буду глубже погружаться в эту тему. Просто хочу лишний раз напомнить, что при расследовании инцидентов не стоит недооценить информацию, которая находится на виду и которая позволяет получить достаточно детальные сведения о том, кто вас атакует. Анализ DNS для этого подходит как нельзя лучше.

9.3.18

McAfee купил TunnelBear

8-го марта McAfee закрыла сделку по приобретению TunnelBear, разработчика VPN-решений для домашних пользователей. Сумма сделки не раскрывается.

7.3.18

"Где логика" - новая интеллектуальная игра по ИБ на РусКрипто

Внимательный читатель моего блога помнит, что, по ставшей уже традиции, на РусКрипто я провожу интеллектуальные игрища по криптографии. В позапрошлом году я проводил "Свою ИБ-игру"; в прошлом - "Брейн-ринг". В этом году я решил остановить свой выбор на игре "Где логика", которая успешно идет на канале ТНТ. Как говорится в аннотации к этой игре, это самое интеллектуальное из развлекательных и самое развлекательное из интеллектуальных шоу. И это действительно так.

Идея игры очень простая - надо найти логику в картинках, которые будут показаны на экране. Вот, например, так будет выглядеть слайд из первого, разминочного раунда. В нем зашифровано одно из явлений, связанных с криптографией.


Таких раундов будет несколько. Я пока еще только прорабатывают все загадки, которые буду давать участникам РусКрипто, согласившимся променять посещение бара на разминку своего серого вещества. Но уже могу сказать, что как минимум, раундов будет четыре - разминочный, "найди общее", "убери лишнее" и "формула всего". Надеюсь, что получится разработать и пятый раунд - "назови меня" или "киношифр", в котором участники должны будут угадать по ассоциативным картинкам художественный или анимационный фильм, связанный с криптографией.

В отличие от оригинального сценария, где в шоу участвует две пары, ищущие логику между совершенно несвязанными на первый взгляд событиями, вещами и явлениями, в нашем случае буде 2-3 команды по 4-5 человек, для того, чтобы привлечь большее число желающих проявить свои умственные способности и умение логически мыслить.

Веселые импровизации, абсурдные выводы и молниеносные ответы — криптошоу "Где логика" позволит всем посетителям РусКрипто взглянуть на криптографию с неожиданной стороны и расширить свой кругозор в этой, все более набирающей популярность, теме.

ЗЫ. Помимо интеллектуального шоу на РусКрипто буду также проводить мастер-класс "Принцип Парето в информационной безопасности", в котором проанализировать сотни требований по защите информации различных нормативных требований различных стандартов и приказом и выбрать из них всего пару-тройку десятков наиболее важных и приоритетных, дающих максимальный эффект.

Зарегистрироваться на РусКрипто можно тут.

6.3.18

Разговор за гостайну в КИИ

2 марта всенародно избранный Президент подписал Указ №98 о внесении изменений в перечень сведений, отнесенных к гостайне. Теперь к ней относятся и "сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры Российской Федерации" и "сведения, раскрывающие состояние защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак". Какая же дискуссия после этой публикации началась в соцсетях... Как бывший обладатель второй формы хотелось бы поделиться некоторыми мыслями о том, что все это значит.

Во-первых, сейчас рано делать какие-нибудь выводы о том, что конкретно будет относиться к гостайне. Будет ли это тендерная документация, ТЗ, презентации с case studies, списки заказчиков на сайте интегратора и т.п. информация? Или все ограничится базой инцидентов в ГосСОПКЕ и реестром значимых объектов КИИ? К этим вопросам я бы добавил свой - а кто из тех, кто активно обсуждает этот вопрос (еще с момента появления этой нормы в ФЗ-187) читал сам закон №5485-1 "О государственной тайне"? Я не в порядке критики, мне просто интересно. У нас многие непонимания нашего законодательства происходят именно по причине не до конца прочитанных нормативных правовых актов.

А ведь внимательное изучение того же закона о гостайне дает ответы на многие вопросы. Что лично я извлек из документа 93-го года происхождения:
  • К гостайне может быть отнесено далеко не все (так называемый принцип законности). В ст.5 закона о ГТ приводится 4 блока сведений, который могут быть засекречены. "Наша" тема относится к 4-му, последнему, блоку - "сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты". Но помимо информации о мерах по безопасности КИИ и состоянии ее защищенности от компьютерных атак, в этом списке есть, например, сведения о мерах защищенности критически важных объектов. Я что-то не помню шумихи в 2010-м году по поводу засекречивания этой информации. А еще к секретной информации относятся сведения о шифрах, шифрованной связи, о разработке шифров, о методах анализа шифрсредств. При этом ГОСТ 28147-89 и ГОСТ Р 34.12-2015 выложены в открытом доступе в Интернете. Отсюда вытекает простой вывод - есть общая категория сведений, попадание в которую еще ничего не значит. Кстати, в ст.7 приводится перечень того, что не может быть отнесено к гостайне.
  • Вторым принципом засекречивания данных является обоснованность. Это значит, что прежде чем что-то засекречивать, оценивается целесообразность этого. В случае с КИИ это будут делать, согласно Указа №98, ФСТЭК и ФСБ (Минкомсвязи и ЦБ в этом списке нет). Будут ли они относить к гостайне информацию по каждому объекту КИИ или даже по значимому объекту КИИ? А нафига? Вот скажите мне, зачем к гостайне относить сведения о мерах защиты медицинской информационной системы районной поликлиники (а это объект КИИ у субъекта КИИ)? Никакого резона в этом нет - нецелесообразно. Частично об этом говорит и сам Указ (вместе с ФЗ-193), который относит к гостайне сведения о защитных мерах не отдельных объектов КИИ, не КИИ, а КИИ Российской Федерации. Почувствуйте, как говорится, разницу. Этот тот случай, когда размер имеет значение. Логично предположить, что и законодатели с регулятором будут исходить из того, что к гостайне могут относиться сводные данные по критической инфраструктуре России целиком, а не отдельных ее объектов. Детали будут определены ФСТЭК и ФСБ, но мне почему-то кажется, что они не будут многократно увеличивать нагрузку на себя ради районных поликлиник или сельских школ.
  • Помимо Указа Президента, определяющего по-крупному, что относить к гостайне, уполномоченными ФОИВами (в данном случае ФСТЭК и ФСБ) должны быть составлены развернутые перечни сведений, которые и будут относиться к гостайне. Их-то мы и ждем. Но когда они появятся, вы про это не узнаете, - эти перечни засекречены.
Промежуточный вывод №1. Не надо думать, что задача ФСБ и ФСТЭК заключается в засекречивании абсолютно всего.

Вообще, на этом можно было и закончить заметку, так как обсуждать то, что еще не определено, достаточно странно. Но я же блогер :-)

Оптимизм - это хорошо, но не стоит забывать про то, что даже если вас съели, у вас есть как минимум два выхода :-) Вот и с засекречиванием существует два сценария развития событий - положительный (под ГТ будет отнесена сводная информация по КИИ РФ) и отрицательный. Поговорим про отрицательный, а точнее худший сценарий, - под гостайну попадут сведения о мерах защиты каждого объекта КИИ в отдельности (даже незначимого). Вспоминая принципы засекречивания сведений, максимум, на что можно рассчитывать абсолютному большинству субъектов КИИ, - это на минимально возможную, третью форму допуска (секретно). Отдыхать в Тайланде или Турции вы сможете, загранпаспорт у вас забирать не будут. Зато социальные гарантии и надбавки к зарплате положены (см. ПП-573 от 2006 года); но не всем. Хотя, если отбросить в сторону высокоуровневые рассуждения и попробовать рассмотреть конкретные кейсы, то становится понятно, что никто не будет какой-нибудь ломбард или детсад загонять под гостайну.

Промежуточный вывод №2. Третья форма - это не так страшно. Вторая тоже :-)

Допуск к гостайне могут получить не все. В ст.22 приводится перечень ограничений, среди которых постоянное проживание близких родственников за границей или отказ в участии в проверках "анкетных данных" со стороны соответствующих органов.

Промежуточный вывод №3. Получить доступ к гостайне могут не все.

Хорошо. Пусть будет худший сценарий. Как мне узнать, сведения о каких конкретно мерах относятся к гостайне? Когда надо создавать режимно-секретные отделы (РСО)? Не спешите и не бегите впереди паровоза. Если вы попали под раздачу, вы получите "письмо счастья" от регулятора, в котором вас предупредят о наличии у вас "сведений, составляющих". Вы, конечно, и сами можете принять решение о том, что у вас есть секретная информация (ст.10 закона о гостайне). В этом случае вы должны будете направить соответствующий запрос в уполномоченные органы, а уже они по вашему представлению выполнят соответствующие процедуры. Только зачем вам это головная боль по вашей же инициативе? Зачем загонять себя в угол? Живите безмятежно. Если у вас нет гостайны (а я все-таки считаю, что таких будет 99% субъектов КИИ), то и напрягаться не надо. А если есть, то к вам придут и сообщат об этом. Самодеятельность и инициатива в этом вопросе не нужна и только навредит вам.

Промежуточный вывод №4. Не проявляйте инициативу - ждите письма от ФСБ или ФСТЭК.

Да ну в ... эту гостайну. Не хочу я ничего засекречивать, внедрять СТР (а его как раз обновили недавно), получать допуска, лишаться возможности съездить в Европу на Рождество. Для многих это станет сюрпризом, но вы и не обязаны это делать. Вам не надо загонять себя в жесткое прокрустово ложе требований по гостайне и тратить на это деньги. Согласно ст.10 вы либо заключаете договор с регулятором на возмещение ущерба, связанного с засекречиванием, либо... не заключаете. В первом случае государство вам выплачивает сумму, установленную договором. Если она вас устраивает, то на этом проблема считается исчерпанной. Но так как государство у нас бедное и на реализацию требований ФЗ-187 в бюджете средств не заложено, то скорее всего предлагаемая сумма денег вас не устроит. Поэтому вы можете отказаться от заключения договора и от выполнения ограничений, связанных с засекречиванием. Правда, от ответственности за разглашение и утечку гостайны вас это не спасет, о чем вас и предупредит регулятор.

Промежуточный вывод №5. Вы не обязаны защищать гостайну, но это не снимает с вас ответственность за разглашение гостайны.

Если у вас все-таки будет гостайна в части КИИ, то вы будете ограничены в списке организаций, которых вы можете привлекать для выполнения работ по защите информации. У таких контор должна быть лицензия на работу со "сведениями, составляющими" в соответствие с ПП-333 95-го года (в отношении той информации, которая будет передаваться им по договору). У крупных интеграторов они обычно есть, а у мелких обычно нет. С вендорами ситуация аналогичная - если они выполняют для вас какие-то работы, то возможно они больше не смогут это сделать, если у них не будет соответствующей лицензии. Интересно, дочки иностранных ИБ-вендоров могут получить такую лицензию?

Промежуточный вывод №6. Списки подрядчиков по ИБ, возможно, придется пересмотреть.

Если посмотреть на текстовый фрагмент до первого промежуточного вывода, то мне пока остается непонятной ситуация с корпоративными центрами ГосСОПКИ, которые накапливают информацию о состоянии защищенности (или ее может обрабатывать только ФСБ?) и сведения о мерах по обеспечению безопасности (мониторить-то надо средства защиты). Попадут ли они под гостайну или нет? Тот же вопрос с вендорами ПО, которое используется на объектах КИИ. Допустим там найдена уязвимость, которую надо устранять. Можно ли ее будет передать производителю, если информация о дырах будет считаться "сведениями о защищенности", а у производителя нет лицензии на работу с гостайной?

Финальный вывод. Читайте законодательство - там все написано! Ну или почти все :-)

2.3.18

Обзор некоторых особенностей обеспечения безопасности КИИ за пределами РФ (видео)

Видео моего выступления с конференции ФСТЭК "Актуальные вопросы защиты информации", которое я посвятил обзору ключевых моментов обеспечения кибербезопасности КИИ в странах дальнего зарубежья. Видео по сути дает только голос без синхронизации со слайдами. Сами слайды я выкладывал раньше.


Список потребностей CxO банка и как натянуть на них кибербезопасность (презентация) #ibbank

За рассказом про конференцию ФСТЭК и формированием программы "Код ИБ. Профи" я немного забыл про Уральский форум. Исправляюсь. В дополнение к презентации и видео "Уральский форум за 15 минут" выкладываю свою презентацию с мастер-класса "Список потребностей CxO банка и как натянуть на них кибербезопасность". Она по сути дополняет мастер-класс Димы Мананникова про ИБ как бизнес-функцию.



Помимо этого, вчера была опубликована моя заметка на GlobalCIO с обзором законодательных тенденций для безопасников финансового рынка, которая является квинтессенцией рассказа регуляторов на Уральском форуме.

1.3.18

3 мантры ФЗ-187 о безопасности КИИ

Мантра №1

Объект КИИ - это не тоже самое, что субъект КИИ!
Объект КИИ - это не тоже самое, что субъект КИИ!
Объект КИИ - это не тоже самое, что субъект КИИ!
Объект КИИ - это не тоже самое, что субъект КИИ!
Объект КИИ - это не тоже самое, что субъект КИИ!
Объект КИИ - это не тоже самое, что субъект КИИ!
Объект КИИ - это не тоже самое, что субъект КИИ!

Мантра №2

Субъект КИИ - это компания, а объект КИИ - это ИС, АСУ или сеть связи!
Субъект КИИ - это компания, а объект КИИ - это ИС, АСУ или сеть связи!
Субъект КИИ - это компания, а объект КИИ - это ИС, АСУ или сеть связи!
Субъект КИИ - это компания, а объект КИИ - это ИС, АСУ или сеть связи!
Субъект КИИ - это компания, а объект КИИ - это ИС, АСУ или сеть связи!
Субъект КИИ - это компания, а объект КИИ - это ИС, АСУ или сеть связи!
Субъект КИИ - это компания, а объект КИИ - это ИС, АСУ или сеть связи!

Мантра №3

Субъект КИИ не обязательно должен иметь значимые объекты КИИ!
Субъект КИИ не обязательно должен иметь значимые объекты КИИ!
Субъект КИИ не обязательно должен иметь значимые объекты КИИ!
Субъект КИИ не обязательно должен иметь значимые объекты КИИ!
Субъект КИИ не обязательно должен иметь значимые объекты КИИ!
Субъект КИИ не обязательно должен иметь значимые объекты КИИ!
Субъект КИИ не обязательно должен иметь значимые объекты КИИ!


Повторять утром, вечером и во время обеда по 7 раз!