28.2.20

Почему спиваются CISO?

На проходящей на этой неделе RSA Conference в первый день проводили интересный круглый стол на тему "Цифровая трансформация, обман и детокс: опрос лидеров ИБ", на котором поднималась очень интересная и очень дискуссионная тема, связанная с влиянием работы CISO на его жизнь. В прошлый года на RSA Conference был отдельный трек, посвященный роли CISO, развитию его карьеры, лайфхакам коллеги и т.п. В этом году этот трек решили начать с наболевшего и опросили известных и не очень коллег о том, как они дошли  до жизни такой. Позволю себе пересказать тезисно некоторые из прозвучавших тем.


На вопрос "Почему вы выбрали ИБ?" ответы разнились от "Я смотрел Mr.Robot"/"CSI Cyber" и "Я люблю решать головоломки" до "Был пентестером" и "Хотел заработать денег". Вот интересно, какие варианты ответов были у наших CISO? Зато ответы на второй вопрос "Как вы думаете, почему вас наняли?" были предсказуемы - регуляторика, произошедший инцидент, рекомендации совета директоров и часть стратегии развития. Как мне кажется, ровно те же самые основные причины присутствуют и на нашем рынке.

А вот дальше больше. Была приведена интересная статистика Forbes, согласно которой один из шести CISO имеет проблемы с алкоголем или спасается лекарственными препаратами, так как:

  • они должны быть доступны в режиме 24/7
  • 89% никогда не имели даже двухнедельного отпуска. 
Как следствие, 55% CISO удерживаются на работе менее 3 лет, а 30% - менее 2 лет. В то время как средний CFO сидит на своем месте 5 лет, а средний CEO - 8 лет.

Так как в отличие от ИТ-проект, ИБ не имеет начала и конца, то недостижимая ежегодная цель CISO "ни одного взлома, ни одной утечки" приводит к постоянному ночному кошмару и 91% CISO постоянно испытывают средний или высокий уровень стресса. 60% руководителей ИБ не могут дистанцироваться от работы и все время думают о ней; даже на отдыхе.

Отсюда и поднятая тема (которая пока не имеет никакой статистики) о последствиях работы CISO - рост самоубийств (в России и СНГ о таких случаях не слышал, но у американцев и число безопасников побольше, чем у нас на порядок будет), рост разводов (такое и у нас есть, хотя зависит ли это от работы человека?), а также рост пагубных привычек у CISO, среди которых на первое место выходит алкоголь и наркотики. У соотечественников, предположу, пока наркотики не в ходу (если не брать совсем уж молодежь), а вот алкоголь часто сопутствует работе CISO и хороший алкоголь - это привычный подарок на Новый год или 23-е февраля (а кто-то и на 30-е ноября, международный день защиты информации дарит).

После обсуждения проблем, на RSA Conference обсудили пути выхода из сложившейся ситуации. Начали с модного на Западе слова "детокс" и классического совета для всех тех, кто получил зависимость от гаджетов, - отключайтесь на время от технологий и научитесь проводить время без них. На Западе даже появляются отели, которые специально поднимают цены за то, что на их территории нет гаджетов, нет Интернета, глушится мобильная связь и человек остается один на один с природой. Такое есть и у нас, но не думаю, что кто-то готов за это платить - достаточно просто выехать за 100 км от Москвы и получить такой цифровой детокс, что единственным спасением станет алкоголь :-)

Второй совет тоже мало пока применим в России - посещение психологов и изучение всяческих психологических лайфхаков у нас не в чести. Они рассматриваются как шарлатаны, худшие, чем гомеопаты или продавцы страха от ИБ. Но на Западе изучение рекомендаций из серии "Как не сгореть на работе" - это из серии "must have" для каждого руководителя.

Горячие телефонные линии, онлайн-площадки (типа suicidepreventionlifeline.org), онлайн-психотерапевты (типа www.opencounseling.com или www.brendanhburns.com)... А также рекомендации больше спать, не есть сахар, меньше прокрастинировать, искать счастье вокруг себя, становиться приверженцем цифрового минимализма и заниматься ИБ-волонтерством. Ну просто ИБ-ЗОЖ какой-то :-)

В конце же дискуссии прозвучали следующие советы, которым должен следовать каждый уважающий себя CISO, столкнувшийся со стрессом в работе (а не столкнувшиеся должны помогать своим подчиненным):

  1. На следующей неделе
    • установить не менее одной цели для обычного ЗОЖ
  2. В течение трех месяцев
    • присоединиться к одной профессиональной организации и регулярно посещать ее встречи, а также стать ее волонтером (а вы думаете, зачем я создавал НАИБАЛ? :-)
    • установить не менее одной цели цифрового детокса
    • изменить хотя бы одну плохую привычку
  3. В течение полугода
    • выступить хотя бы на одной конференции
    • прочитать не менее одной книжки о лидерстве и постановке целей
    • провести самооценку руководства вашей компании в части того, как оно поддерживает психологическое и физическое здоровье своих сотрудников!
Тут грядут московские "Код ИБ. Профи" и CISO Forum. Может быть поднять на них эту тему?.. Хотя о цифровом детоксе и ИБ ЗОЖ лучше говорить точно не в Москве, а где-нибудь на Рускрипто или сочинском "Код ИБ. Профи", которые пройдут в гораздо лучше приспособленных для отдыха местах.

Всем ЗОЖ!

27.2.20

Дифференциация требований по ИБ на примере новой системы сертификации МинОбороны

Наблюдая за тем, что делает ФСТЭК (ФСБ тоже), а точнее как, замечаешь одну вещь. Регулятор воспринимает только два цвета - белое или черное. Вспоминается дискуссия во время принятия последней редакции Постановления Правительства о лицензировании отдельных видов деятельности и перечня требования к лицензиатам на мониторинг ИБ. Кто помнит, там есть такие пункты, которые обязывают владельца коммерческого SOC иметь ряд сертифицированных средств защиты, например, SIEM, а также аттестовать SOC по требованиям ГИС1. Первое требование обходится всеми российскими SOCами, которые для лицензии покупают один SIEM, а в работе использует другой :-) И проверять это регулятор не хочет, хотя нередко упоминает, что они используют стратегию "тайного покупателя". Второе же требование по сути не только запрещает виртуальные и мобильные SOCи, но и закрывает доступ на российский рынок вход SOCам иностранным.

Когда обсуждался пункт про аттестацию на ГИС1 доводы ФСТЭК звучали следующим образом: вдруг к SOCу придет госорган, который захочет купить услугу мониторинга ИБ для своих ГИС 1-го класса? SOC должен иметь тот же уровень аттестации. А на закономерный вопрос, что SOCов, к которым могут прийти госорганы, у нас в стране можно пересчитать по пальцам одной руки, и поэтому устанавливать в качестве обязательного требования аттестацию ГИС1 не совсем разумно - это отсечет многие региональные SOCи, которые будут ориентироваться на малый бизнес, который крупным федеральным SOCам пока мало интересен. Но увы, деля все на черное и белое, на все или ничего, регулятор не захотел пересматривать свои взгляды. И так во всем - сертифицированное или несертифицированное, отечественное или зарубежное, под контролем или не под контролем, аттестованная или неаттестованная, лицензиат или нелицензиат...

А возможна ли ситуация с 50 оттенками серого между черным и белым? Да, вполне. Например, так поступило МинОбороны США, которое выпустило на днях систему сертификации компаний с точки зрения кибербезопасности (Cybersecurity Maturity Model Certification), которую должны соблюдать все компании, которые работают с американским военным ведомством, а их число насчитывает около 300 тысяч.

Я не буду подробно рассказывать о самой системе (желающие могут почитать про это сами), а коснусь только ключевых тезисов, показывающих ключевую идею новой системы:

  • Система разработана не для всех организаций, а только для тех, кто работает с МинОбороны США. Как не хватает нам в России такой же дифференциации. Вот есть требования, они жесткие, но они только для тех, кто имеет доступ к ВПК/ОПК. А вот есть требования для тех, кто работает с госорганами. Они различаются по уровню защищаемой информации. А для тех, кто работает с гражданским сектором требования устанавливаются на основе лучших практик или гражданского законодательства. Но нет... у нас всех под одну гребенку :-(
  • Система охватывает не только прямых поставщиков, но и всю цепочку поставщиков. Причем речь идет не о требованиях к продуктам или компонентам, а о требованиях именно к самим компаниям, производящим или поставляющим что-то в интересах военного ведомства. Это связано с тем, что по мнению разработчиков системы, злоумышленники часто действуют не напрямую на военные организации или их прямых подрядчиков, а через поставщиков вплоть до 6-8 уровней.
  • Новая система базируется на уже известных требованиях NIST SP800-53, ISO 27001, ISO 27032, NIST SP800-171.
  • Малый бизнес, работающий в интересах МинОбороны, очень важен для него, но не всегда в состоянии выполнить те же самые требования, что и крупные игроки типа Lockheed Martin или Raytheon. Поэтому требования системы CMMC являются дифференцированными.
  • На сертификацию выделяется 3 года. Невыполнение требований приведет не к штрафу, а к отказу от заключения контрактов. Такое "наказание" выглядит вполне действенным, так как серьезно бьет по карману собственников, не давая им зарабатывать; в отличие от штрафов, которые обычно фиксированные и их легко платить.
  • Сертификацию проводят независимые аккредитованные организации, правила выбора и аккредитации которых еще предстоит разработать.
  • Все требования по безопасности разбиваются на 5 уровней - от базовой кибергигены до продвинутого. Правила соотнесения определенного военного контракта и нужного уровня соответствия пока неясны - они находятся в разработке.
  • Взлом компании не означает потерю контракта или потерю сертификата, но может потребовать повторной сертификации


Система CMMC, которую сейчас внедряет американское МинОбороны, находится только в самом начале своего пути и пока еще не отвечает на все вопросы (например, должны ли ей соответствовать поставщики обычного коммерческого софта, продаваемого на открытом рынке; а поставщики в рамках микрозакупок типа канцелярки или поставщики бухгалтерских услуг?). Но сама идея оценки состояния ИБ поставщиков, а также дифференциация требований по ИБ в зависимости от типа контракта и уровня защищаемой информации, является достаточно здравой и позволяющей учесть различные типы компаний, которые работают с министерством, а не грести всех под одну гребенку.

26.2.20

Кибербезопасность прорывных технологий (презентация)

Ну и чтобы завершить с темой моих выступления на Уральском форуме, которая была начата предыдущими двумя заметками, выкладываю свою презентацию, посвященную аспектам кибербезопасности, которые надо учитывать при внедрении прорывных технологий - больших данных, блокчейна, машинного обучения, квантовых вычислений, биометрии, 5G и т.п.



Бизнес-метрики ИБ для руководства финансовой организации (презентация)

На Уральском форуме мне довелось не только собрать воедино все регулятивные новости, но и выступить еще дважды с темами, которые были одобрены программным комитетом. Одна из них была посвящена метрикам и подходам, которые руководитель ИБ финансовой организации мог бы использовать при общении с Правлением или исполнительным органом организации.

Особенно приятно было услышать отзыв об этой презентации, в котором сквозило удивление, что я понимаю банковский бизнес лучше чем банкиры :-) Это, конечно, преувеличение, но я действительно немного понимаю именно в бизнес-ориентированной составляющей ИБ для разных направлений экономики. Но и в кредитной организации мне довелось работать на заре становления меня как безопасника - почти 25 лет назад я начинал свою карьеру именно в банке.


25.2.20

Уральский форум за 15 минут (презентация и видео)

На прошлой неделе закончился Уральский форум по информационной безопасности финансовых учреждений. Это мероприятие, уже ставшее традиционным место сбора банковских безопасников, в этом году особенно удалось. Тут наложилось много обстоятельств. И работа организаторов, которая была на высоте, и снежная зима, которой в Москве так и не было, и культурная программа, и новые знакомства и старые друзья... И очень интересной и насыщенной на мой взгляд оказалась программа. Тут и активно представленный Банк России (я не помню, чтобы на предыдущих форумах было столько докладов регулятора), и интересные доклады от участников рынка.

По традиции последние годы я подвожу итоги конференции в своей презентации "Уральский форум за 15 минут". Не стал исключением и этот год. И хотя я уже давно не вмещаюсь в 15 минут, я попробовал выделить ключевые темы, которые были представлены именно регулятором. Вот, что у меня получилось:



Тем же, кто хочет не только посмотреть, но и послушать, могу порекомендовать видео, которые организаторы очень быстро выложили на YouTube, и в котором моя презентация сопровождается моим же голосом:



Другие видеосюжеты с Уральского форума вы можете найти на официальном канале BIS TV (там будут выкладываться выступления по мере их обработки), а на сайте форума в самое ближайшее время (может быть уже сейчас, когда вы читаете эти строки) вы сможете найти все презентации.

14.2.20

Сценарий, по которому ФСТЭК прекратит свое существования

Пятница... День подготовки к выходным, день шуток, анекдотов и фантазий. Вот об одной такой фантазии я и хочу поведать. Пришла она мне в голову после общения с коллегами из разных структур, с которыми мы пересеклись на конференции ФСТЭК. Фантазия носит конспирологический характер, но для пятницы вполне пойдет.


Итак, что мы сейчас видим. ФСТЭК, вопреки своим предыдущим шагам (а попытка включить требование по применению чисто российских средств защиты и продукции ИТ предпринималась еще при подготовке первой редакции 235-го и 239-го приказов, но ее тогда отбили), вносит на общественное обсуждение проект приказа, который воообще не касается сферы деятельности регулятора (что тоже еще предстоит осмыслить), то есть технической защиты конфиденциальной информации, а целиком касается вопросов импортозапрещения (именно запрещения, так как все пункты носят запрещающий характер).

При этом своими требованиями ФСТЭК наступает на мозоль многим и это боль будет носить длительный характер, так требование по запрету контроля со стороны иностранных лиц касается не только момента заключения договора, а всего цикла работы ИТ-решения на значимом объекте КИИ. То есть нужно отслеживать контрагента не только на стадии закупки, но и на стадии эксплуатации, чтобы не получилось, что компания, поставившая продукт и поддерживающая его, вдруг не сменила "гражданство" или не получила в акционеры/владельцы/руководители иностранца.

СМИ сразу же разносят эту весть, ругая на чем свет регулятора, который сделал это не корысти ради, а токмо во исполнение воли пославшей мя жены по распоряжению того Правительства, которое уже отправлено в отставку. На него валить, конечно, можно, но бессмысленно. Иных уж нет, а те далече. Все посланные "лучи добра" собирает все равно ФСТЭК. Дальше больше. Регулятор принимает приказ и начинается достаточно серьезные шатания и брожения не только у иностранных инвесторов, которые хотели бы вложить в Россию деньги, но не могут "из-за ФСТЭК", но и у российских крупных компаний, в советы директоров которых входят иностранцы, или которые возглавляют иностранцы, или у которых есть иностранные акционеры. Люди из "близкого круга" докладывают гаранту, что во всем виновата ФСТЭК, которая попадает сразу меж двух огней (и патриоты бьют, и супостаты). Письма от Ассоциации европейского бизнеса, германской торгово-промышленной палаты и кучи других известных и не очень ассоциаций пишут письма во все инстанции, что несмотря на заявления Президента страны о важности иностранных инвестиций, есть еще такие элементы, которые не прислушиваются к мнению главы страны и идут ему наперекор. Все показывают пальцами опять на ФСТЭК.

Дальше государственная машина начинает работать по привычной схеме. Президент не знал, что творится, и надо кого-то наказать. Кого? Того, кто это все придумал, то есть ФСТЭК (отставленное Правительство уже не накажешь). Как наказать? А вот тут есть несколько вариантов. Один из них - расформировать ФСТЭК, экспортный контроль отдать в таможню, а часть по ИБ отдать в ФСБ. А то и вернуться к идее создания единого регулятора по ИБ, которая витала и витает в кулуарах (последний раз я про нее в декабре слышал). И ведь сейчас, на фоне внесения изменений в Конституцию, перетрахивания федеральных министерств и служб, смены их руководителей (говорят, что даже Жаров из РКН уходит) и других новаций, убрать регулятора, название которого многие либо не знают, либо произносят с ошибкой (ВТЕК или ФТЕК вместо ФСТЭК), не так уж и сложно.

Как вам такая конспирологическая версия в пятницу?

13.2.20

Как ФСТЭК запрещал пользоваться услугами Вымпелкома, Яндекса и множества других российских компаний

Вчера, я вкратце пробежался по последствиям, которые повлечет за собой принятие поправок в 239-й приказ. Сегодня я хотел бы коснуться одной из формулировок этих поправок чуть более подробно. Но для этого, я бы хотел, чтобы вы представили себе ситуацию.

Обычный русский город Осташков. Население по итогам 2019-го года составляет 15666 человек. Единственное медицинское учреждение на весь Осташковский район - Осташковская центральная районная больница. Стационар круглосуточного пребывания на 158 коек, дневного пребывания - на 40 коек. Есть отделение хирургии, инфекционное, травма, гинекология, неврология, родовое, реанимация. 63 врача и 155 средних медицинских работника. Муниципальный бюджет на здравоохранение составляет 29 миллионов рублей; еще почти 10 миллионов составляют внебюджетные средства. Минимум треть средств уходит на капитальный ремонт отделений больницы.Средняя зарплата врача - 30 тысяч рублей. Средняя зарплата среднего медработника - 15 тысяч рублей. Нехватка кадров. Безопасника нет в принципе, а айтишник - один единственный с зарплатой в 17-20 тысяч рублей.


Ситуация достаточно типична для большинства районных больниц страны, которые, как мы знаем все относятся к субъектам КИИ. Есть ли значимые объекты у такого субъекта? Ну если почитать показатели критериев категорирования, то да, есть, так как возможно нанесение ущерба жизни и здоровью людям путем воздействия на объекты КИИ. Таким образом, у Осташковской ЦРБ есть значимые объекты КИИ, на которые распространяет свое действие 239-й приказ ФСТЭК, в том числе и его новая редакция, которую примут скорее всего без каких-либо поправок, так как это не инициатива ФСТЭК, а распоряжение Правительства, которое потребовало от ФСТЭК до 1-го марта 2020 г. обеспечить усиление требований по безопасности информации к оборудованию, используемому на объектах КИИ и в государственных информационных системах и увязать их с мерами по импортозамещению, реализуемыми Минпромторгом.

Теперь смотрим на поправки в 239-й приказ. Два последних пункта поправок требуют, чтобы в значимом объекте не было ни поддержки, ни удаленного прямого доступа сотрудников зарубежных организаций, а также организаций, находящихся под прямым или косвенным контролем иностранных физических и (или) юридических лиц". И это, скажу я вам, полнейшая жопа для главрача районной больницы, который теперь обязан проводить проверки всех своих контрагентов на поставку или обслуживание эксплуатируемой вычислительной техники на предмет нахождения их под прямым или косвенным контролем иностранных физических и (или) юридических лиц.

Это даже хуже, чем требовать использование отечественного софта или радиоэлектронной продукции, находящейся в соответствующих реестрах Минцифры или Минпромторга. В этих случаях соответствующие комиссии уже сделали все за вас и приняли решение о включении прошедших проверки железок и софта в реестры. В случае с же поправками ФСТЭК никакой отсылки к реестрам нет (и переложить все на экспертные комиссии не удастся) - руководитель организации несет полную ответственность за проверку контрагентов.

А как это сделать? Вставить пункт в тендерные требования, а потом и договор? Вставить можно, но их же и нарушить можно (за доступ к бюджетным деньгам-то). Контролировать все равно надо. А можно ведь и специально подставить неугодного руководителя - подставив на конкурс фирму, у которой руководитель имеет двойное гражданство (вот и контроль со стороны иностранного физического лица), или которая сама зарегистрирована в оффшоре. А потом пожаловаться в прокуратуру и все - неугодный руководитель идет валить лес, а на его место ставится податливый и понятливый человек.

А как проверить двойное гражданство? А вид на жительство? А наличие в учредителях оффшора? А что делать, если уже сейчас больница закупает антивирус у компании, которая находится под контролем управляющей компании, зарегистрированной в Великобритании? А если вы заказываете услуги расследования инцидента у компании, которая также зарегистрирована в Лондоне? А услуга обязательного по требованиям ФСТЭК пентеста от компании, руководитель которой имеет гражданство Израиля? А если в руководстве компании-производителе DLP есть гражданин Беларуси, то как мы считаем Беларусь, как иностранное государство или как часть так и не заработавшего Союзного государства?

Но можно взять и более простые примеры. Компания "Вымпелком" входит в состав группы компаний VEON Ltd. и имеет штаб-квартиру в Амстердаме. Ее акции торгуются на бирже и любой миноритарный акционер имеет определенный контроль над ней (в проекте приказа ФСТЭК не говорится об объеме контроля). Но вернемся к Вымпелкому. Вы не интересовались гражданством его генерального директора, Василия Лацанича? Значит ли это, что теперь субъекты КИИ не могут под страхом уголовного наказания пользоваться услугами связи от одного из крупнейших операторов связи России? Акции МТС тоже торгуются на американской бирже и среди ее акционеров есть иностранцы. А Яндекс? Он вообще зарегистрирован в Нидерландах (100% ООО "Яндекс" принадлежит голландской Yandex N.V.). И таких примеров, которые просто лежат на поверхности, можно назвать немало. А уж ситуаций, когда структура собственности какой-либо компании, занимающейся ИБ или разработкой или поддержкой ИТ, совсем неясна, гораздо больше. И уж точно не задача главврача заниматься такой проверкой.

Что вообще понимается под фразой "под контролем"? А я вам скажу. Это когда:




  • руководитель компании имеет двойное/тройное гражданство (а возможно и вид на жительство в другой стране)
  • среди акционеров компании есть иностранцы, в том числе россияне с двойным гражданством
  • в исполнительном органе или совете директоров компании есть иностранцы, в том числе россияне с двойным гражданством.
Интересно, сколько в нашей стране "отечественных" ИТ/ИБ-компаний, которые удовлетворяют таким требованиям?

А что, если не проверять? А это прямой путь к статье 274.1 и 10 годам лишения свободы (закупка же не у того контрагента может быть признана несоответствующей законодательству и потери бюджета могут составить несколько миллионов рублей, что будет характеризоваться как тяжкий ущерб со всеми вытекающими).

А что же делать главврачу Осташковской центральной районной больницы, а также руководителям всех остальных медицинских учреждений и иных организаций, которым "посчастливилось" стать владельцами значимых объектов КИИ? А ничего. Никаких выводов не будет. Пусть каждый их делает самостоятельно.

ЗЫ. А ведь есть еще дочки иностранных компаний, работающих в России, которые пользуются услугами своих центральных департаментов ИТ или ИБ, в которых работают иностранцы. Это получается, что ФСТЭК еще и такую деятельность поставит скоро вне закона. На очередном международном форуме наш гарант изменяемой сейчас Конституции услышит много интересного об инвестиционном климате в нашей стране с таким законодательством.

12.2.20

О проекте поправок в 239-й приказ ФСТЭК

Сегодня проходит конференция ФСТЭК, на которой... не будут рассказывать о КИИ. И вообще из 14 докладов, заявленных в программе, представители ФСТЭК читают только 3 из них. А раз так, то позволю себе высказаться о проекте поправок в 239-й приказ ФСТЭК, который на днях был выложен на общественное обсуждение и который уже вызвал большой отклик в СМИ.


Я бы отметил, что этот приказ совсем не про защиту информацию и не про кибербезопасность. Кто-то руками ФСТЭК пытается таким образом в очередной раз попробовать импортозаместить иностранные решения, причем уже не только в ИБ, а вообще в области ИТ. И вот почему:

  • Пункт 9 (абзац 2) проекта приказа запрещает осуществлять прямой удаленный доступ в ПО и программно-аппаратным средствам значимых объектов КИИ работников организаций, находящихся под прямым или косвенным контролем иностранных юридических лиц. Учитывая, что ряд ИТ-продуктов (я даже не говорю про ИБ-решения) достаточно сложны и иногда требуют помощи со стороны работников производителя, это нововведение означает, что его будут либо обходить (слово "прямой" можно трактовать по-разному), либо в случае какой-либо проблемы или сложной ситуации, она так и останется неразрешенной. Кроме того, данный пункт означает запрет на использование на значимых объектах КИИ зарубежных облачных сервисов, неважно где расположенных. А, вспоминая, что у нас в КИИ включаются не только объекты ТЭК или транспорта, но и финансовые организации, образование, медицина, наука и т.п., а они активно используют в своей основной деятельности тот же YouTube или Google, Amazon или Azure, то работа этих сервисов будет парализована. 
  • Пункт 9 (абзац 3) проекта приказа распространяет запрет на расположение значимых объектов КИИ за пределами России не только на объекты 1-й, но и 2-й категории значимости (из трех возможных). Это означает запрет на использование на значимых объектах КИИ 1-й и 2-й категории облачных сервисов, расположенных за рубежом. Вот интересно, многие даже государственные сайты используют SSL-сертификаты, выданные не российскими УЦ, проверка которых осуществляется также зарубежом. Можно ли считать такую проверку (а без нее портал или сайт может и не заработать) расположением объекта КИИ за пределами РФ? А та же SABRE, которой пользуется Аэрофлот? Или ее не рассматривать как объект КИИ (даже несмотря на использование ее на законном основании)? И таких примеров можно вспомнить очень много; особенно если обратиться к истории с законом ФЗ-242 о локализации ПДн россиян.
  • Пункт 10 проекта приказа запрещает техническую поддержку ПО и программно-аппаратным средствам значимых объектов КИИ организациями, находящихся под прямым или косвенным контролем иностранных юридических лиц. Этот пункт самый значимый и он означает полный запрет на поставку любого иностранного оборудования и ПО в любые значимые объекты КИИ, так как техническая поддержка (пусть часто и ограниченная) является частью любой продажи.
  • Пункт 8 проекта приказа в части нового требования 29.2 требует, чтобы средства защиты информации соответствовали 5-му уровню доверия и выше. 5-й уровень доверия означает предоставление исходных кодов для средства защиты, что в соответствие с законодательством ряда стран передача исходных кодов на ИТ-продукцию и средства защиты в определенные страны может нанести ущерб национальной безопасности. Для большинства иностранных компаний это означает фактический запрет на продажу средств защиты информации для значимых объектов КИИ, так как они должны быть либо сертифицированными (что, как показывает опыт последних двух лет, почти невозможно для "иностранцев"), либо прошедшими оценку по 5-му уровню доверия (что также практически невозможно). Длительность сертификации сегодня составляет сегодня не менее года.
  • Пункт 8 проекта приказа в части нового требования 29.3 касается прикладного ПО, обеспечивающего выполнение функций значимого объекта по его назначению (для банков это АБС, для операторов связи системы управления сетями и биллинг, для промышленности и нефтегаза – АСУ ТП, для медицинских организаций – медицинское ПО и т.п.). Для всех иностранных производителей ПО (Siemens, SAP, Oracle, Rockwell, NCR, Microsoft и сотни других) это требования означает предоставление исходных кодов для их анализа на территории России, что затруднительно как с точки зрения корпоративных правил передачи интеллектуальной собственности, так и с точки зрения запрета на передачу исходных кодов по требованиям законодательства ряда стран.
Вот такие поправки, не имеющие ничего общего с защитой информации. Раньше ФСТЭК достаточно четко дистанцировалась от любых попыток втянуть ее во всякие смутные инициативы типа "Цифровой экономики" или импортозамещения. Но видимо теперь регулятор уже не может остаться в стороне и вынужден следовать общей "линии партии". А жаль...

11.2.20

Безопасность по подписке

На новогодних праздниках я настраивал новый телевизор с функцией Smart TV и загрузил на него приложения нескольких онлайн-кинотеатров - Okko (годовая подписка вместе с покупкой телевизора), КиноПоиск HD (подписка при покупке Яндекс.Плюс), ivi (подписка сына), Netflix (подписка сына). Помимо этого я активно пользовался еще и Apple TV. Итого 5 стриминговых кинотеатра по подписке и почти полный отказ от обычной телевизионной программы. Мир переходит на новую модель приобретения товаров и услуг - по подписке. Потребитель больше не хочет вкладывать капитал в собственность и берет все больше по требованию.

Интересно, что ровно та же модель начинает все активнее проникать и на рынок ИБ. Наблюдая за его зарубежной частью, я вижу, что почти все иностранные ИБ-вендоры также переходят на модель продажи услуг и продуктов ИБ по подписке, постепенно уводя на задний план традиционные продажи "железа" и ПО. По оценкам Gartner в 2020-м году более 80% ИТ-компаний перейдет на эту модель. Рынок ИБ чуть отстает, но движение в этом направлении уже не отменить.

Нужно ли это потребителю? Ответ прост. В условиях ограничения бюджета, возникает необходимость снижение затрат, роста их эффективности и повышения ценности, получаемой за 1 рубль. При этом снижение инвестиций приводит к отказу от внедрения новых технологий, а это в свою очередь приводит к снижению ИБ предприятия.
Подписочная же модель выравнивает расходы на ИБ с фактическим использованием ИБ-решений. Вы не покупаете впрок и вам не надо бояться, что вы не сможете использовать то, что закупили. С ростом потребностей вы просто докупаете новые подписки, как и с ростом производительности, ростом пиковых нагрузок и т.п. Мечта... Помните заметку про новый класс решений SASE? Так вот они обычно и продаются по модели подписки. Вам нужен МСЭ? Покупаете подписку на соответствующую функцию. Нужен VPN? Еще лицензия на нужное количество пользователей и длительности. Нужен DLP, IPS, WAF, анти-DDoS, антивирус? Докупаете необходимые лицензии по мере необходимости.

Еще одно преимущество подписочной модели - отсутствие зависимости от необходимости постоянных обновлений средств защиты и лежащих в их основе операционных систем, СУБД, прикладного ПО. Вы перекладываете эту задачу на производителя/поставщика и он сам выполняет это в рамках жизненного цикла решения. Это же позволяет при необходимости перейти на решение другого вендора, если текущее решение вас не устраивает. В обычной жизни вы не можете этого сделать, пока не закончится срок амортизации поставленного на баланс предприятия решения. В подписочной модели вы можете вообще не знать, с помощью чего обеспечивается ваша безопасность - вы просто оплачиваете подписку за нужную возможность.

Для потребителя подписочная модель несет одни только преимущества. Хотя нет, вру. Есть один недостаток - рост зависимости от поставщика ИБ-решения (хотя он всегда присутствует), но в условиях нехватки компетенций и снижения бюджетов, это минимальное зло. Еще для потребителя это означает изменения в планировании, финансировании, приобретении решений ИБ, но это полезные навыки.

Следуя общей тенденции и росту запросов от заказчиков, многие ИБ-вендора также переходят на эту модель. И дело тут не в антивирусах, которые продавали обновления антивирусных баз по подписке (это немного иная модель). Firewall-as-a-Service, IPS-as-a-Service, DLP-as-a-Service, IDM-as-a-Service, SOC-as-a-Service... (даже Crime-as-a-Service). Многие технологии ИБ все чаще получают приставку "как сервис", переходят в облака и переходят на подписочную модель.

Отечественный рынок пока не очень готов к этой модели - упор по-прежнему делается на продажу железа с сопутствующим софтом или просто софта, который продается с годовыми лицензиями и ставится на баланс предприятия. Отчасти наши производители являются заложниками отечественной системы сертификации средств защиты - как проводить оценку соответствия (или это будет аттестация?) решения, которое размещается на стороне поставщика услуги, постоянно обновляется и меняет свой функционал в зависимости от хотелок потребителя? Сегодня это нереализуемая задача в рамках документов ФСТЭК. Но потребители уже потихоньку задают вопросы...

10.2.20

Сайты иностранных "ФСТЭК"ов - что есть интересного?

Добьем уж тему рационализаторских предложений для нашего регулятора по ИБ и завершим ее сайтом. Да, сайт ФСТЭК - это уникальное явление в Интернет третьего десятилетия 21-го века. Я такие же, условно, сайты делал в середине 90-х годов, когда в Информзащите отвечал за корпоративный сайт, его создание и развитие (да, был в моей карьере такой интересный опыт). С тех пор прошло много времени, изменились подходы к Web-дизайну, Web-технологии, возможности Web-сайтов... и только сайт ФСТЭК застыл в прошлом веке. Вот я и решил посмотреть, а что творится с сайтами иностранных регуляторов по ИБ, у которых можно почерпнуть что-нибудь интересное и полезное.

У австралийского "регулятора", который известен своими отличными документами по ИБ, сайт не имеет каких-либо интерактивных сервисов, которые можно было бы скопировать. Разве что форму сообщения об инцидентах, но у нас за это отвечает ФСБ, у которой есть НКЦКИ и его сайт, принимающий данные об инцидентах. Есть новостной раздел, который рассказывает не об успехах регулятора, а о том, что может поднять уровень защищенности его поднадзорных организаций, то есть об уязвимостях. Учитывая, что у подведомственного ГНИИ ПТЗИ эта информация публикуется регулярно в Твиттере, то почему ФСТЭК ее не публикует на своем сайте?

Сайт АНБ можно было соотносить с их "коллегами" в ФСБ, но на самом деле Агентство национальной безопасности делает немало и в направлении, которым занимается ФСТЭК. И тут не только куча open source-проектов (а АНБ выпустило не только Ghidra), но и проект UNFETTER, о котором я уже писал и который позволяет оценить уровень вашей защищенности в соответствие с матрицей MITRE ATT&CK. Сервисов по ИБ там больше особых нет, но сам сайт достоин похвалы именно как пример навигации по большому количеству материалов, связанных с тематикой национальной безопасности (а там и раздел для подрастающего поколения есть). Вообще надо отметить, что западные регуляторы очень активно работают с детьми. И английский регулятор, и американский, и другие, и экскурсии проводят, и лекции читают, и всякие головоломки и пазлы для них выпускают. А у АНБ вообще есть отдельные курсы лекций для детей по тематике ИБ (я когда был у них, наткнулся как раз на очередную такую лекцию).

Не менее познавателен для широкой аудитории, а не только для лицензиатов, канадский центр кибербезопасности. Они не только в рамках понятной навигации выкладывают свои рекомендации по защите, написанные понятным языком и использующие в том числе и инфографику (у канадцев есть и свой Топ10 защитных мер), но и имеют на сайте некоторое количество интерактивных сервисов и материалов - от обучающих видеолекций до интерактивных "карт" с разбором типичных ситуаций, которые могут нарушить безопасность канадских госорганов. Из разработанного канадцами инструментария можно назвать средство для обнаружения и анализа вредоносного кода Assemblyline и очень подробную методику анализа угроз и рисков TRA.


Недавно созданное агенство США по кибербезопасности (CISA) размещается на известном домене www.us-cert.gov, но не может пока похвастаться большим количеством полезных сервисов. Из интересных инструментов, которые могли бы помочь и российским компаниям, если бы у ФСТЭК появился их аналог, я бы назвал:

  • CSET (Cyber Security Evaluation Tool) - бесплатный инструмент и регулярно обновляемый по самооценке безопасности объектов критической инфраструктуры. 
  • CRR (Cyber Resilience Review) - бесплатный опросник, созданный совместно с институтом Карнеги-Меллона, позволяющий оценить реализацию нетехнических мер по киберустойчивости и кибербезопасности операторов критической инфраструктуры.
  • Инструменты по безоопасной разработке. 7 лет назад я уже писал про сайт Build Security In, который собрал воедино множество рекомендаций и инструментов по безопасному программированию. Сейчас этот сайт уже не поддерживается (но архив на нем действует), так как его материалы переехали на сайт института Карнеги-Меллона (основателя CERT/CC). И там можно найти много всего - и вики по безопасному программированию на C, C++, Java и т.д. (с примерами кода), и бесплатный инструментарий по анализу исходников, и много чего еще. Сейчас ФСТЭК сильно озаботилась темой SDLC и создание схожего ресурса помогло бы сильно продвинуть эту тему среди разработчиков (у ФСТЭК была уже инициатива по созданию библиотеки примеров "плохого" кода, но что-то она подвисла в воздухе, как и многие другие ранее озвучиваемые инициативы).
  • список ссылок на полезные ресурсы различных институтов и организаций, которые повышают уровень ИБ американских организаций, преимущественно государственных.

Английский национальный центр кибербезопасности помимо отличной навигации, кучи регулярно обновляемых руководств, обучающих разделов для детей и взрослых, также предлагает набор сервисов для госорганов туманного Альбиона:
Есть на сайте англичан и свой реестр сертифицированных продуктов и сервисов по ИБ. Но сделан он на порядок качественнее нашего - среди критериев выборки есть не только тип продукта, но и его статус (показываются и те, кто сейчас сертифицируется), гриф защищаемой информации и т.д. Перед прошлогодней конференцией ФСТЭК я уже писал про возможные варианты улучшения реестра сертифицированных средств защиты информации (правда, ничего из них так и не было реализовано), но у англичан есть пара интересных задумок, которые можно было бы повторить и у нас.

Европейского регулятора по ИБ, ENISA, достаточно сложно сравнивать с ФСТЭК, так как, мне так кажется, ресурсов у первого намного больше, чем у его российского "коллеги". Иначе я не могу объяснить, как ENISA успевает выпускать такое количество добротного контента по совершенно различным темам ИБ. Правда, многие из них, попадают в сферу компетенции НКЦКИ, но и то, что остается (ПДн, КИИ, облака, обучение, сертификация и др.) неплохо охвачено.


В качестве резюме хочется отметить, что я прекрасно понимаю, регулятору надо думать о повышении безопасности КИИ и государственных органов, о безопасном программировании и сертификации средств защиты, о сертифицированных компиляторах и согласовании программ повышения квалификации в области ИБ. Но все-таки можно было бы чуть отвлечься и переработать свой сайт, чтобы сделать его не только более привлекательным и удобным, но и более полезным для разных целевых аудиторий (лицензиаты, клиенты от государства и от бизнеса, обычные граждане). А чтобы не пересекаться со второй частью регулятора, отвечающей за экспортный контроль, можно было бы и вовсе создать себе отдельный домен и развивать его (например, cyber.gov.ru).

ЗЫ. А пока писались последние заметки про ФСТЭК на сайте БДУ появилась бета-версия бесплатного сканера ScanOVAL для Linux.

7.2.20

Что еще могла бы сделать ФСТЭК по аналогии с CIS

Ну раз уж я последние три дня публиковал некоторые рекомендации по возможному улучшению результатов работы ФСТЭК, то закончу эту неделю еще одним набором рекомендаций. Их тоже будет три и я их "подсмотрел" у уже не раз упомянутого на неделе Center of Internet Security (CIS).

С CIS Controls и Community Attack Model вроде мы разобрались. Что еще есть у CIS? CIS Benchmarks - набор рекомендаций по настройке широкого спектра ПО (серверное, операционные системы, облачное ПО, десктопное ПО), мобильных устройств, сетевого оборудования и многофункциональных устройств. Почти 50 вендоров, около 100 версий ПО, включая самое современное и востребованное (Docker, Kubernetes, MongoDB, MS Sharepoint и т.п.). Это отличный инструмент (есть бесплатный набор руководств и расширенный, по подписке), который сразу подсказывает, как правильно настроить то или иное ПО, чтобы уменьшить площадь возможной атаки и защитить информационные активы. ФСТЭК в своем БДУ уже фокусируется на уязвимостях в ПО и "железе", которое чаще всего используется в российских госорганах. Вот если бы они еще делали рекомендации по его безопасной настройке...


Есть у CIS еще одна фишка, которая связана с рекомендациями по защищенной настройке, - защищенные образы ПО, которые уже настроены в соответствие с рекомендациями CIS, и которые можно скачать с их сайта. Но боюсь, что именно эта возможность для ФСТЭК недоступна - ждать, что регулятор будет распространять защищенный "Мой офис", 1С, Астру и т.п. не приходится (не его это функция).

Если вы не можете скачать с сайта CIS уже настроенное защищенным образом ПО, вы можете проверить правильность настройки установленного у вас софта. Для этого у CIS есть соответствующий сервис CIS CAT (и CIS CAT Pro), который представляет собой сканер конфигураций. С его помощью (а его клиентская часть ставится на Windows и Ubuntu) вы можете просканировать все свои узлы и получить отчет с оценкой соответствия от 0 до 100 (и контролем динамики изменения уровня соответствия).


CIS CAT доступен в двух версиях, позволяющих сканировать локальные и удаленные узлы (а также имеющих только CLI или GUI), и в двух редакциях - бесплатной (скачать) и коммерческой (отличия в количестве проверяемых руководств CIS Benchmarks). У ФСТЭК есть бесплатный сканер уязвимостей для Windows - ScanOVAL, но если бы у регулятора был продукт, схожий с CIS CAT, то было бы вообще прекрасно. В условиях нехватки кадров, о который так часто говорят представители ФСТЭК, автоматизация поиска уязвимых конфигураций и поддержка сканера в актуальном состоянии, такой сервис был бы очень полезен.

Еще одним инструментом, и бесплатным, который выпустил CIS, является RAM (Risk Assessment Method), который позволяет провести анализ рисков и связать актуальные риски с защитными мерами CIS Controls. Скачав CIS RAM вы получаете инструкции, примеры, шаблоны для того, чтобы провести оценку рисков на своем предприятии (хотя она ближе к моделированию угроз, на мой взгляд). Самое полезное, что есть в RAM (а методик анализа риска известно с несколько десятков), это ее взаимосвязь с ранее упомянутой моделью угроз Community Attack Model и набором защитных мер CIS Controls.

Если CIS CAT позволяет оценивать, насколько вы правильно сконфигурировали свои узлы в соответствие с CIS Benchmarks, то бесплатное web-приложение CSAT позволяет вам оценить и приоритизировать защитные меры CIS Controls.


Кто знаком с CIS Controls, тот знает, что существует Excel'вская табличка-опросник AuditScripts Critical Security Control Manual Assessment Tool (с российских IP-адресов могут не пускать), которая позволяет провести анализ своего соответствия требованиям CIS и проверить, какие из защитных мер вы реализовали, а какие вам еще только предстоит внедрить. Это примерно то, что могла бы сделать ФСТЭК, как я писал вчера. CIS CSAT базируется как раз на вопросах из этого опросника и визуализирует работу с ним, добавляя к нему различные фишки, позволяющие документировать, отслеживать, автоматизировать и внедрять защитные меры из каталога CIS Controls, в том числе и маппировать их в PCI DSS или NIST SP800-53.


Три с лишним года назад я писал про соревновательный дух при выполнении требований регуляторов. CIS CSAT позволяет визуализировать этот "дух" и сравнивать выполнение защитных мер по различным подразделениям. Данный бесплатный инструмент можно использовать прямо сейчас, но учитывая, что это облачный сервис, который размещается не в России, не уверен, что отечественные госорганы его захотят использовать. А вот такой инструмент на базе ФСТЭК был бы очень полезен и помог бы многим поднадзорным ФСТЭК организациям регулярно проводить свою оценку соответствия, не тратя бюджетных средств на привлечение внешних организаций.

Описанные выше сервисы являются бесплатными (хотя часть из них и имеет платные варианты) и доступны любой организации, в том числе и в России. Но есть у CIS и ряд сервисов, доступных только для государственных структур США (часть только за деньги). К их числу относится:

  • сервис мониторинга сетевых угроз "Альберт"
  • CIS CyberMarket - сервис коллективной закупки средств ИБ, позволяющей существенно экономить бюджетные средства
  • MS-ISAC - круглосуточный SOC, включающий мониторинг ИБ и реагирование на инциденты. 

Вот такая интересная организация CIS, которая подсказывает несколько интересных вариантов для развития и наших регуляторов (и не только ФСТЭК). При этом первые три рекомендации, данные во вторник-четверг, могут быть реализованы минимумом усилий. Приоритизация и "экселизация" так уж точно. Расширение БДУ и увязывание его с защитными мерами потребует больше аналитической работы. А вот сегодняшние рекомендации - это уже высший пилотаж и потребуют определенных финансовых вложений на реализацию схожего функционала.

6.2.20

3 рекомендации по улучшению приказов ФСТЭК. Экселизация

Продолжим рационализацию по части приказов ФСТЭК. Заходим мы на сайт ФСТЭК (это, кстати, еще одна тема для улучшения, но совсем отдельная) и хотим начать выстраивать процесс работы с требованиями по безопасности. Выбираем нужный нам приказ и... понимаем, что работать-то с ними и не очень удобно. Нам предлагается на выбор три варианта:


RTF, PDF и HTML. С PDF работать невозможно - только читать.


Та же ситуация и с HTML и RTF. Допустим, я хочу выбрать нужные мне защитные меры, сделав фильтрацию по нужному уровню защищенности или классу информационной системы или АСУ ТП. Указанные форматы мне этого сделать не позволяют.


Что делает в таком случае большинство людей? Копипастит все в табличку Excel и начинает с ней работать за счет возможностей, предоставляемых Excel для работы с данными. Например, можно отмечать нужные мне защитные меры (добавляя их или удаляя) и затем делать выборку только по актуальным мерам защиты. Можно, если воспользоваться рекомендациями из вторничной заметки, делать выборку по приоритезированным группам защитных мер. С помощью цветовой маркировки можно отмечать реализованные защитные меры, нереализованные, и находящиеся в процессе реализации. Вот, например, как выглядит такая таблица у Center of Internet Security (CIS). Помимо PDF с описанием защитных мер, они выкладывают еще и таблицу, с которой удобно работать.


Если за счет перекрестных ссылок увязать защитные меры с угрозами, о чем я писал вчера, то можно делать выборку защитных мер в зависимости от угроз или наоборот, угроз в зависимости от защитных мер. Вот так выглядит такая таблица у CIS - защитные меры связаны с угрозами, для каждой из которых еще и ее вероятность указывается . 


На самом деле таких таблиц у CIS три - одна ведет отсчет от защитных мер. Вторая - от защищаемого актива, а третья - от угрозы. То есть мы можем работать сразу с несколькими срезами и точками отсчета.

Excel полезен еще и тем, что в него достаточно легко можно загнать структурированный БДУ и добавить различные формулы для вычисления актуальности и ранжирования угроз. В свое время, в 2008-м году, когда появилось первое четверокнижие по ПДн, в Интернет появились первые таблицы, которые автоматизировали процесс моделирования угроз. В одну колонку включали названия угроз, следующие 3 учитывали показатели опасности угрозы и ее вероятности, следующая позволяла расчитывать по простой формуле актуальность угрозы, а затем для каждой угрозы указывали технические и организационные меры защиты. С помощью функции работы с данными, все угрозы, в поле "актуальность" которой указывалось "неактуальная", скрывались, и мы имели дело с готовым перечнем актуальных угроз. Если бы для текущей версии БДУ регулятор сделал соответствующую табличку, то в ней можно было сразу реализовать выборку по потенциалу нарушителя, объектам воздействия, последствиям угрозы и другим параметрам.

В данной рекомендации нет ничего революционного - речь идет просто об автоматизации и удобстве работы с документами ФСТЭК. Многие, в принципе, такую работу проделывают сами. Но гораздо лучше было бы, если бы такие файлы выкладывались самим регулятором у себя на сайте и он бы поддерживал их актуальность. Причем можно сделать это в двух вариантах - в более привычном всем MS Office, который предлагает больше возможностей по работе с данными, или в более импортозаместительном OpenDocument (ODS). В последнем формате ФСТЭК выкладывает у себя на сайте различные реестры. Базовые функции у этих форматов схожие и многие описанные выше вещи можно делать и в ODS тоже. Но что-то более продвинутое поддерживает только Excel.

5.2.20

3 рекомендации по улучшению приказов ФСТЭК. Привязка защитных мер к угрозам

В конце января я написал заметку о том, как можно было развить БДУ, добавив в нее привязку к этапам атаки (там где угроза является низкоуровневой, а не стратегической) и затем уже к матрице MITRE ATT&CK. Сегодня я хотел бы посмотреть на эту проблему немного с другой стороны. Одним из часто задаваемых вопросов касательно инициатив ФСТЭК является - "Как связать угрозы из БДУ с защитными мерами из приказов?". Сергей Борисов уже писал об этом и даже провел колоссальную работу, выложив соответствующую табличку.

Однако, как я писал в январе, сама по себе БДУ решает задачу скорее бумажной ИБ, чем практической, и маппинг мер 17-го приказа в перечень угроз из банка данных (а точнее наоборот) не сильно помогает бороться с реальными атаками, которые описываются с помощью матрицы ATT&CK или более высокоуровневой модели Kill Chain.

Первый вариант является частью самой матрицы ATT&CK - в описании многих из тактик нарушителей есть раздел по мерам их нейтрализации и способам обнаружения. Да, он неполный. Например, в отношении угрозы использования DGA-доменов ATT&CK предлагает сетевые IPS и локальные DNS-sinkhole, напрочь забывая о решениях класса ISG (Internet Security Gateway) или SASE или DNS Firewall. Но как точка отсчета и как пример реализации, этот вариант подходит неплохо.


Есть и обратный процесс - выбрав в списке защитных мер интересующую вас, вы получите перечень тактик, которые мера позволяет нейтрализовывать.


Нравится мне матрица ATT&CK - многоплановая она, позволяет использовать для совершенно разных целей, которые я еще опишу в блоге. Но есть и другой вариант, позволяющий ассоциировать угрозы с мерами защиты и он, как мне кажется, проработан получше варианта с ATT&CK, которая первоначально создавалась именно как перечень возможных тактик и техник злоумышленников и только потом стала расширяться за счет добавления в нее новых сущностей, одной из которых и стало описание защитных мер, которое пока находится в самом начале своего пути.

Второй вариант был предложен Центром Интернет-безопасности (CIS), который разработал модель CAM (Community Attack Model), задачей которой было, отталкиваясь от Топ20 защитных мер, приоритезировать их исходя из хакерских техник, чаще всего используемых в мире. Методология CAM может быть описана следующим образом:

  • проанализировать источники данных (CIS анализирует кучу TI-отчетов и источников)
  • идентифицировать ключевые тактики и техники
  • идентифицировать способы защиты от ключевых тактик и техник
  • связать методы защиты с мерами CIS Control.

Учитывая, что CIS расположен в США, где одним из самых популярных фреймворков по ИБ является NIST CSF, то CAM использует его в качестве основы для группирования защитных мер. По горизонтали матрицы у нас 5 блоков защитных мер по NIST CSF (Identify, Protect, Detect, Respond, Recover - идентификация, предотвращение, обнаружение, реагирование, восстановление), а по вертикали - этапы большинства современных атак. Эти этапы немного отличаются от этапов ATT&CK, но в перспективе, во второй версии CAM должен быть маппинг и в матрицу корпорации MITRE. Иными словами, матрица CAM позволяет обсуждать защитные возможности/меры применительно к стадиям атаки.


Схожие подходы уже используются разными компаниями. Например, вместо пяти блоков защитных мер применяется три - предотвращение, отражение, реагирование. Другая компания применяет шестиэтапную модель МинОбороны США (я о ней уже писал) - detect, deny. disrupt, degrade, deceive, destroy. Столбцы в свою очередь могут быть разбиты дополнительно на типы нарушителей. В любом случае в ячейках на пересечении вписываются защитные меры. Наиболее популярный вариант матрицы  CAM выглядит так.


Но так как основная задача CAM развивать и поддерживать CIS Controls, то связь защитных мер из списка Топ20 с этапами атаки выглядит таким образом.


Соответственно мы провести аналогию с приказами ФСТЭК и связать их требования с этапами атак, чтобы понять, на что нам стоит делать акцент в защите и каких мер нам не хватает для эффективного отражения угроз.

Так как MITRE ATT&CK сегодня становится все более и более популярной, то Center of Internet Security в рамках развития CAM ведет работы по связыванию защитных мер CIS Controls с техниками и тактиками ATT&CK, существенно расширяя те возможности, которые предоставляются самой MITRE. По сути получается, что если MITRE использует матрицу ATT&CK как точку отсчета и уже потом привязывает к ней защитные меры, то у CIS подход другой - они отталкиваются от защитных мер и потом уже смотрят на матрицу MITRE.


Резюмируя, приказы ФСТЭК можно было бы еще улучшить за счет привязки защитных мер к угрозам из БДУ, которую в свою очередь стоило бы улучшить за счет привязки к конкретным тактикам и техникам злоумышленников. При этом, матрицу MITRE ATT&CK я привожу как пример того, как это может быть реализована. Она тоже не идеальна, фокусируясь преимущественно на APT и группировках, использующих те или иные методы. В итоговую матрицу попадает далеко не все, что используется при атаках. Но сама идея матрицы очень неплоха и на ее основе, раз уж у нас не любят в лоб использовать американские наработки, можно сваять что-то отечественное. Правда, в последнем случае мы получим очередной импортозаместительный костыль, который без должной поддержки со стороны сообщества умрет. А поддерживать его, увы, никто не будет, как и многие другие инициативы, исходящие от государства (отечественная Википедия, отечественный Гитхаб, отечественный стандарт обмена данными об инцидентах и т.п.). Будем вариться в собственном соку, в то время как иностранцы будут обходить нас по многим направлениям ИБ. 

4.2.20

3 рекомендации по улучшению приказов ФСТЭК. Приоритезация!

3 с лишним года назад я написал пару заметок о том, как можно было бы улучшить 17-й (ну и до кучи 21-й, 31-й и 239-й) приказ ФСТЭК (тут и тут) с точки зрения его обвязки (по контенту у меня тоже были предложения). И вроде бы ничего сложного я не предложил, но, видимо, идея с самооценкой регулятору не зашла. Но в преддверии конференции ФСТЭК у меня вновь появились рацпредложения :-) Целых 3! В этой заметке я напишу про приоритезацию защитных мер.

В августе я уже про это упоминал, но не грех и повторить. В условиях нехватки бюджета или времени с каких из 150+ защитных мер начать? С сегментации или управления доступом, с внедрения средств защиты от вредоносного кода или межсетевого экранирования, с повышения осведомленности персонала или с регистрации событий безопасности? В австралийских требованиях по ИБ все защитные меры (их уже не 35, а 37) распределяются по 5 приоритетам - Essential, Excellent, Very Good, Good и Limited). Начинать рекомендуется с 8 базовых защитных мер, которые при этом дают не менее 90% эффекта.

Схожая конструкция у Center of Internet Security (CIS), который развивает еще один фреймворк (а фиг знает как это перевести на русский язык) с защитными мерами - CIS Controls, который иногда по старинке еще называют SANS Top20. Если у SANS был просто список из 20 защитных мер, то у CIS каждый из пунктов двадцатки - это уже название блока защитных мер (в приказах ФСТЭК или NIST CSF та же идея), в каждом из которых свой набор мер.


В CIS 20 все защитные меры также сгруппированы в так называемые группы внедрения (Implementation Group), которые направлены на компании с разными ресурсами, разной экспертизой в ИБ, разной зрелоостью и моделями угроз. Таких груп три и они каждая из них содержит свой перечень защитных мер по нарастающей.

Вот такой бы подход я бы и реализовал применительно к приказам ФСТЭК. Причем необязательно ждать, чтобы регулятор это внес в свои документы. Этого можно ждать долго и так и не дождаться. Почему бы самому не разбить полторы сотни защитных мер на группы в зависимости от того, какой эффект для защиты они дают? Взял на себя смелость предложить следующие Топ10 защитных мер из 17-го приказа, с которых я бы начал построение системы защиты в первую очередь:

  1. ОПС.3 - Установка (инсталляция) только разрешенного к использованию ПО и (или) его компонентов.
  2. АНЗ.2 - Контроль установки обновлений ПО, включая обновление ПО средств защиты информации. От себя добавлю, что речь идет не только о контроле установки обновлений, но и о самом обновлении.
  3. АНЗ.3 - Контроль работоспособности, параметров настройки и правильности функционирования ПО и средств защиты информации. В качестве первых кандидатов на ПО, настройки которого стоит не только контролировать, но и улучшать, я бы назвал MS Office, Adobe Acrobat, Adobe Flash, браузеры. 
  4. АНЗ.5 - Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализация прав разграничения доступа, полномочий пользователей в информационной системе.
  5. УПД.5 - Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы.
  6. ИАФ.1 - Идентификация и аутентификация пользователей, являющихся работниками оператора. От себя добавлю, что речь в первую очередь должна идти о многофакторной аутентификации.
  7. ИАФ.2 - Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных.
  8. ОДТ.4 - Периодическое резервное копирование информации на резервные машинные носители информации.
  9. ОДТ.2 - Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы. От себя добавлю, что здесь также подразумевается и резервное копирование конфигураций ПО и технических средств.
  10. ЗИС.17 - Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы.

Надо отметить, что в приказах ФСТЭК есть определенная приоритезация, но не такая, как в тех же документах австралийского ASD или американского CIS. В наших документах состав базового набора защитных мер зависит не от наличия ресурсов, экспертизы или зрелости, а от уровня значимости защищаемой информации (в 21-м приказе - от типа и объема обрабатываемых ПДн, в 31-м и 239-м приказах - от критичности АСУ ТП/КИИ).

Приведенный выше список из 10-ти защитных мер, на мой взгляд, должен быть реализован в любой компании. Но тут стоит учитывать, что эта десятка включена в базовые наборы не с самого минимального уровня (правда, это не мешает вам эти меры все равно реализовать):

  • ИАФ.2 - только с 2-го уровня
  • ОДТ.4 - только с 2-го уровня
  • ОДТ.2 - только с 1-го уровня
  • ЗИС.17 - только с 2-го уровня.
Вот такое рацпредложение.


3.2.20

Что я жду от Уральского форума, организованного Банком России?

В пятницу я написал про мероприятия двух регуляторов, но у нас есть и еще один. Последний в списке, но не последний по значимости, регулятор, - Банк России, который по традиции организует уже 12-й Уральский форум, легендарную "Магнитку", который в этом году стоит посетить хотя бы только ради нормальной зимы (там она всегда такая, какой и должна быть - снег, сугробы, мороз, солнце, иногда метеориты падают). У меня немного субъективное мнение о Магнитке и не только потому, что я член программного комитета. Просто я не представитель финансовой организации и немного по своему смотрю на этот форум. Я туда еду ради трех вещей (помимо зимы) - регуляторика, кулуары и пельмени :-) Учитывая замкнутое пространство мероприятия, там можно узнать то, что обычно остается тайной за семью печатями. Там, под пельмени, грузди в сметане и травяной чай с медом, можно нормально общаться в течение нескольких часов, не боясь, что собеседник убежит по делам. Это очень ценная, а кому-то и основная составляющая Магнитки.

Регуляторика... Да, это скучно. Но ЦБ в конце 2018-го года получил новые, расширенные полномочия, и к прошлой Магнитке просто не успел еще выпустить никаких документов, которые можно было бы обсуждать. Сейчас же у нас есть 672-П/683-П/684-П, а также проекты новых ГОСТов по операционной надежности и операционным рискам, по которым либо уже есть, либо возникают вопросы. Где, как не на Магнитке обсудить нормативку с ее авторами?

Кстати, надеюсь Банк России на меня не обидится, но поделюсь неким инсайдом. На заседании программного комитета среди очевидных тем (683-П, 684-П, 672-П, ФинЦЕРТ, антифрод и т.п.) упоминались и следующие темы, которые сейчас прорабатывает регулятор и которые могут быть рассмотрены в рамках Магнитки:
  • требования по ИБ для операторов инвестиционных и электронных платформ, операторов информационных систем и операторов обмена цифровых финансовых активов (криптовалют),
  • требования по ИБ для операторов услуг информационного обмена, платежных агрегаторов, операторов иностранных платежных систем (новая редакция 382-П),
  • предотвращение мошенничества и взаимодействие при трансграничных платежах,
  • проведение киберучений для участников платежных систем,
  • регулирование оборота стейблкойнов,
  • разработка отечественных алгоритмов консенсуса для блокчейна,
  • требования по ИБ для бирж с учетом высокочастотного трейдинга,
  • регулирование финансовых организаций, совмещающих множество видов деятельности на единой инфраструктуре,
  • взаимное признание аттестатов соответствия и сертификатов в области анализа уязвимостей, оценки соответствия и анализа защищенности в рамках ЕАЭС, ЕС и БРИКС,
  • вопросы аккредитации аудиторов ИБ.

Моя презентационная программа на Уральском форуме выглядит следующим образом:
  • модерирование секции "Метрики ИБ. Как показать эффективность работы CISO бизнесу?", где я немного расскажу про примеры метрик ИБ для финансовой организации,
  • модерирование секции мастер-классов "Перспективные технологии обеспечения ИБ" и выступление в ней про "Обзор новых технологий, применяемых в ИБ (VR, блокчейн, ИИ, роботы и т.п.)",
  • традиционное выступление "Уральский форум за 15 минут".
Программа Магнитки, как всегда, насыщенная и дополняется спортивной (горные и беговые лыжи, тюбинг, снегоходы, коньки, картинг, баня) и культурной программой. Так что будет полезно во всех смыслах.

Дело за малым - осталось только зарегистрироваться на любое из упомянутых мероприятий - конференция ФСТЭКУральский форум и (или) РусКрипто.