Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Nokia уходит с рынка безопасности, продав свое подразделение, занимавшееся программно-аппаратными решениями по безопасности. Теперь Nokia сконцентрируется на своем "мобильном" направлении и интеграции своих корпоративных телефонов с решениями Cisco, Microsoft и IBM.
29 сентября выходит новая книга Брюса Шнайера, которая скромно называется "Шнайер о безопасности". Книга очень интересная и включает размышления автора на различные околобезопасные темы (не только в области ИБ):
Почему компьютерная безопасность - фундаментальная проблема экономики?
Почему национальное удостоверение личности не может сделать нас защищеннее, только слабее?
Какова психология риска?
Как ваш мозг принимает решение о покупке решений по безопасности?
Почему повсеместное применение видеокамер не делает нас защищеннее?
Почему спам неистребим?
Разница между реальностью и ощущением безопасности
и многое другое.
Нельзя сказать, что это новые темы в творчестве Шнайера. На каждую из них он уже написал эссе. Но новая книга и есть коллекция эссе, опубликованных на сайте Шнайера в период с июня 2002 по июнь 2008 года. Просто они были актуализированы и собраны в одной книге, которая может послужить отличным подарком или чтением в командировках.
Сегодня McAfee подписала обязывающее соглашение о приобретении Secure Computing. Общая сумма сделки - 465 миллионов. Secure Computing известна на западном рынке своими решениями по межсетевому экранированию, защите Web и электронной почты, а также репутационной технологией TrustedSource, похожей на то, что делают многие другие борцы со спамом и вредоносными программами (например, SenderBase от IronPort).
Парадокс данной сделки в том, что 3 сентября Secure Computing купила Securify, разработчика систем контроля и мониторинга доступа пользователей к приложениям, а 30 июля этого же года (т.е. когда речь о сделке должна была уже вестись) Secure Computing продала Aladdin'у свое решение удаленного доступа SafeWord. Надо заметить, что дела у Secure Computing шли как-то не очень и все их последние действия лишний раз показывают, что они готовились к продаже - 16-го июля у них сменился CEO, 29-го мая они назначили 4-х новых топ-менеджеров, а 23-го мая выступали на конференции для инвесторов, 25 марта сменили корпоративный стиль и т.д.
McAfee становится очень сильным игроком на рынке информационной безопасности, которая может составить конкуренцию таким признанным лидерам рынка ИБ, как Cisco, IBM и ряду других.
Правительство 15-го сентября выпустило новое Постановление "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" №687. Документ более чем интересный по одной простой причине. Он сводит на нет ВСЕ, что было сделано до него в виде Постановления 781, "Приказа трех", документов ФСТЭК и ФСБ.
А почему? Все потому, что в п.15 этого постановления сказано дословно следующее: "Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц,ответственных за реализацию указанных мер, устанавливаются оператором". Ни ФСТЭК, ни ФСБ, ни Минкомсвязь... Только оператор. Тут возникает вопрос, а что делать неоператорам? Но это уже отдельная тема.
Но ведь это касается только неавтоматизированной обработки, скажете вы. Но нет. Еще в прошлый раз я отметил, что термин "автоматизированная обработка" трактуется в законе неправильно. Изначально (еще в Европейской Конвенции) речь шла об автоматической обработке. Потом некорректный перевод проник и во все остальные документы по персданным. И вот теперь 687-е постановление, которое говорит, что "обработка персональных данных, содержащихся в информационнойсистеме персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека". Иными словами появление человека при обработке ПДн приводит к тому, что мы должны руководствоваться именно 687-м, а не 781-м постановлением.
Это не значит, что крест поставили на всем, но 7 миллионам организаций, которым грозило выполнение параноидальных требований, можно вздохнуть спокойно. 687-е постановление вывело их из под жестких требований. А вот Госкомстат, ФОМС и ряд других аналогичных ведомств, где обработка действительно автоматическая, по-прежему попадают под действие 781-го постановления.
ЗЫ. Я не исключаю, что через несколько месяцев появится очередное Постановление, которое практически поставит крест на 781-м и вернет все на круги своя ;-) Но пока остается только подивится тому, как у нас принимаются нормативные акты.
2 октября, в рамках ежегодной выставки информационных технологий Softool'2008, пройдет научно-практическая конференция «Информационная безопасность». В этом году организаторами конференции являются: Ассоциация «РусКрипто», Российская Академия Наук и Академия Информационных Систем. Спонсорами конференции выступили компании "Актив" и Positive Technologies.
Я там буду делать обзор перспективных технологий и тенденций рынка информационной безопасности (доклад "Что будет актуальным в области ИБ в ближайшие годы?").
Сообщество ABISS представило проект третьей редакции Стандарта Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008). Всегда приятно, когда регулятор не ставит перед фактом о выпуске каких-либо требований (а в этом случае они еще и рекомендательные), а выкладывает в открытый доступ документ и принимает комментарии и пожелания.
Чтобы я отметил из нового. 1. В предыдущей версии был такой абзац "При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сло жившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопасностью организации. Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться". Все верно и логично. Но в новой версии этот абзац был переписан так: "При разработке моделей угроз и моделей нарушителя необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максимально долго. Поэтому все операции в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации должны особенно тщательно контролироваться". Смысл совершенно поменялся. Теперь речь идет не о контроле персонала, а о защите слабоконтролируемых объектов защиты. Хотя и тут есть свои тонкости. Все-таки на мой взгляд вероятность атаки зависит не от степени контролируемости объекта (хотя это и играет роль), а от степени интереса нарушителя к объекту.
2. Если в последней версии акцент был на системе управления (СМИБ), то в проекте новой версии не забыли и про сами решения, обеспечивающие ИБ (СИБ). В новой версии термин "политика ИБ" был заменен на СИБ. Все вместе объединили в СОИБ. Процессный подход оставили без изменений.
3. Из третьей версии исчез 6-й раздел "Основные принципы обеспечения ИБ организаций БС РФ". Сложно сказать, хорошо это или плохо. С одной стороны это прописные истины и они должны быть известны специалистам, а значит и включать их в стандарт не надо. А с другой - почему бы и нет. Бывают ситуации, которые некоторые из этих прописных истин (например, адекватность затрат) нарушаются - в тех же требованиях по безопасности персданных об этом полностью забыли.
4. Сами по себе требования СИБ не поменялись. А вот раздел СМИБ претерпел коренные изменения. Из 3-х страниц второй версии появилось 15 страниц, что говорит о том, что разработчики сконцентрировались именно на управлении системой ИБ. Нельзя сказать, что это плохо. Но мне кажется, что сейчас все помешались на СУИБ (СМИБ по версии стандарта), забывая про нижнюю часть, которой эта самая СУИБ и управляет.
Как бы поступил я, если бы меня спросили разработчики стандарта? Применил бы правило Паретто (об этом я и буду рассказывать на InfoSecurity Moscow). Разработал бы БАЗОВЫЙ стандарт ИБ, который покрывал бы 80% всех применений ИБ в разных предприятиях. Ведь как бы мы не старались разбивать рынок на отрасли, вертикали ит.п., стандартные задачи и механизмы ИБ у всех одинаковые - повышение осведомленности, управление ИБ, тестирование и установка патчей, антивирусы, МСЭ и IPS, IdM и т.п. Отличия конечно же есть, но они составляют всего 20%. И именно под эти 20% я бы и создавал отдельные стандарты/рекомендации, расширяющие БАЗОВЫЙ стандарт.
Если применить это рассуждение к стандарту ЦБ, то я бы сделал следующим образом. Сначала создал бы базовый стандарт и раздел 8 текущей версии (и 7 новой версии) лег бы в его основу. СУИБ я бы вынес в отдельный стандарт, а может быть бы и просто отослал бы к ISO 27001, IDS3 и т.п. А вот для таких приложений, как ДБО, АБС, SWIFT, процессинг и т.п. я бы разработал собственные стандарты. И тогда бы все было логично. Базовый уровень обеспечить должны все. Тут вопросов нет. Стандарт по СУИБ должны применять те, кто дозрел до этого - он не должен быть обязательным. Стандарты по ДБО, процессингу и т.п. должны внедрять те, кто использует эти системы. Причем и тут эти стандарты предъявляют минимально необходимые требования по безопасности конкретных технологий/приложений.
ЗЫ. Детальный анализ требований к СУИБ попробую сделать чуть позже.
ЗЗЫ. Если у вас будет желание, то посмотрите стандарт и вышлите его разработчикам замечания, комментария и предложения. Это тот редкий случай, когда к мнению будущих пользователей стандарта действительно могут прислушаться.
Итак, остался месяц до InfoSecurity Moscow 2008. С точки выставки все понятно - ситуация не меняется из года в год. А вот конференционная часть достаточно интересна. К слову сказать мне удалось пробить для себя 6 выступлений ;-) Буду выступать как всегда, в качестве штатного пессимиста и критиковать все те "позитивные" доклады, которые будут нестись с трибуны ;-)
Начну я с круглого стола "Управление информационными рисками – основа менеджмента в области информационной безопасности", где я выступаю с темой "Управление рисками – миф или профанация?" Учитывая объем статей, выступлений на тему рисков, их оценки (особенно количественной) хочется подлить масла в огонь своим провокационным выступлением.
В круглом столе "Технические стандарты ИБ: приступ страусиной болезни в национальном техническом регулировании?" отмечусь с темой "Принцип Паретто в стандартизации по ИБ". Хочу показать, что не надо изобретать велосипед каждый раз, как это делается у нас в государстве. Достаточно сделать БАЗОВЫЙ стандарт, который покроет 80% типовых задач ИБ. А вот под остальные 20% и делать дополнительные документы и регламенты.
В круглом столе "Управление ИБ как Management и как Governance: небо и земля". Я эту тему двигаю уже не первый год и тут хочу лишний раз напомнить, что не надо зацикливаться на security management, как это происходит сейчас. Надо переходить на новый, более высокий уровень - security governance. Именно тут понимаешь, что ИБ - это не технология и даже не сервис, а бизнес.
В круглом столе "Международные и российские стандарты ИБ – практика внедрения и оценка соответствия" буду опять развенчивать миф о том, что ISO 27001 - это наше все ;-) В презентации "Как не потеряться среди 600 мировых и российских стандартов по ИБ?" покажу, что помимо ISO 2700x есть еще куча разных стандартов, которые можно и нужно реализовывать на своем предприятии.
В круглом столе "Управление инцидентами ИБ" я рассматриваю существующие "Стандарты управления инцидентами ИБ". Сегодня об этом говорят многие, но опять же ссылаются на один единственный стандарт ISO. А ведь есть еще, как минимум, стандарт ITU-T для операторов связи и ряд других документов.
И, наконец, последним аккордом будет выступление "Что такое мобильный офис и как его защитить: лучшая практика" на круглом столе "Мобильный офис: классификация задач доступа, требования и методы обеспечения доверия в агрессивной среде".
А вот седьмое заявленное мной выступление "Почему законодательство о персональных данных выполнить невозможно даже теоретически?" не прошло. Видимо всем надоело, что я ругаю выпущенные документы ФСТЭК и мне решили малость перекрыть кислород ;-)
Что-то этот финансовый год (у нас он стартовал с августа) у меня начался под знаком повышения осведомленности в области ИБ. Про поездку в Тайланд я уже написал. Также я подписался под чтением двух курсов в Институте банковского дела: - Как связать безопасность и бизнес (облегченная версия) - Безопасность персональных данных.
И это не считая участия в группе Cisco Security Program Organization (CSPO), которая у нас в компании занимается в т.ч. и повышением осведомленности сотрудников в области защиты корпоративных ресурсов.
Год назад, по приглашению Учебного центра НТЦ Корпорации ЮНИ я читал выездные курсы "Как связать информационную безопасность и бизнес?" в Тайланде. Поездка получилась интересная и позволила не только отработать курс и получить обратную связь от практиков ИБ, но и посмотреть на красоты Тайланда.
И вот новое приглашение от НТЦ. То же место - Бангкок-Паттайя. Те же даты - 15-23 ноября. Тольку курс на этот раз совершенно иной - "500 стандартов по ИБ, которые необходимо соблюдать в России". Тенденциозное название ;-) Но контент будет примерно соответствовать. За последнюю пару лет в России действительно приняли столько новых законов, указов, постановлений и стандартов, что в пору нанимать на работу специального человека, который бы постоянно отслеживал все изменения в законодательстве и связывал их с бизнесом. Так что тема актуальная и я постараюсь сделать действительно интересный курс, который будет охватывать широкий спектр тем:
Законодательство РФ в области информационной безопасности. История становления и развития.
Основы права или как обеспечить ИБ, не ущемляя прав граждан и юридических лиц? Пример: легитимность просмотра электронной почты сотрудников. Точка зрения сотрудника, безопасника и юриста.
Регуляторы российского рынка ИБ – ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д. Кто и за что отвечает?
Виды тайн и защищаемой информации. Персональные данные, коммерческая тайна, государственная тайна, служебная тайна, банковская тайна, тайна связи и т.п.
Классика отечественного законодательства в области ИБ. Трехглавый закон. Руководящие документы ФСТЭК и ФСБ. Техническое регулирование. Лицензирование, сертификация и аттестация. ГОСТы по ИБ.
Отечественное законодательство в области защиты коммерческой тайны. Федеральный закон. Рекомендации ФСТЭК.
Отечественное законодательство в области защиты персональных данных. Федеральный закон. Постановление Правительства. Нормативные документы ФСТЭК.
Отечественное законодательство в области защиты конфиденциальной информации. Рекомендации/требования ФСТЭК (СТР-К).
Отечественное законодательство в области защиты ключевых систем информационной инфраструктуры. Рекомендации/требования ФСТЭК.
Отечественное законодательство в области защиты банковской тайны и автоматизированных банковских систем. Стандарт Банка России по ИБ и другие нормативные акты ЦБ.
Законодательство в области защиты операторов связи.
Международное законодательство в области ИБ, обязательное или рекомендуемое к применению в России (PCI DSS, ISO 2700x, Базель II, SOX, ISM3, Кодексы корпоративного поведения, COSO ERM, ITIL, COBIT, ISO 20000 и т.п.)
Наказание за несоблюдение законодательства в области информационной безопасности. Кодекс об административных правонарушениях, Уголовный Кодекс, Трудовой Кодекс и т.п.
Легитимность многих правовых актов в области ИБ. Надо ли вообще их соблюдать с точки зрения закона?
Парафраз о правоприменительной практике или права ли пословица "Закон, что дышло…"?
Ключевое отличие от всех аналогичных курсов в 3-х моментах:
Я рассматриваю законодательство не только с точки зрения деятельности службы ИБ, но и с точки зрения регулятора, работодателя и работника. Т.е. учитываю интересы всех сторон, которые участвуют в законодательной деятельности.
Я исхожу из того, что основополагающим нормативным актом в области ИБ является вовсе не трехглавый закон и что это законодательство по данному направлению "не висит" в воздухе, а тесно увязано с множеством других документов - Конституцией, Кодексами, Постановлениями Правительства и Указами Президента, и даже... с Всеобщей Декларацией о правах человека, Окинавской Хартией глобального информационного общества и т.п.
Я не тупо следую рекомендации соблюдать все, что выпушено нашими регуляторами, а рассматриваю законы с критической точки зрения. Какие ошибки и ляпы в них допущены, какие противоречия есть, какие нестыковки с другими законами?.. Какие из требований являются обязательными, а какие носят характер рекомендаций, необязательных к исполнению? Какие документы можно не выполнять, несмотря на их «обязательность»?
Надеюсь, что курс получится действительно интересным и познавательным.
Приятно осознавать, что действия службы ИБ могут получать не только внутреннюю (в виде снижения числа инцидентов и иных метрик ИБ), но и внешнюю оценку. Например, на днях видео-курс "Inadvertent Disclosure", который создали наши подразделения Cisco Security Programs Organization и Cisco Global Government Solutions Group, получил награду Crystal Award от Digital Video Awards.
Этот факт лишний раз доказывает, что при внедрении ИБ в компании (особенно в такой области как повышение осведомленности), необходимо не просто доносить техническую или юридическую информацию с помощью браузера или PowerPoint, а использовать всю мощь современных обучающих и видеотехнологий. Учитывая, что рядовые сотрудники не занимаются ИБ, им не знакомы технологические термины и жаргонизмы, и они далеки от теории ИБ, то мы должны работать на их подсознание. И тут без видео/аудио-технологий никак не обойтись.
ЗЫ. Цена создания таких курсов достаточно высока, но и эффект совершенно иной.
ЗЗЫ. Недавно видел пример дистанционного курса по повышению осведомленности по ИБ, подготовленного одним российским УЦ. Это нечто! В браузере (только IE) запускается Windows Media Player (только 11-ой версии), через который демонстрируется видеозапись (с обычной камеры) курса по ИБ. На переднем плане человек (обычный преподаватель, мужчина) замогильным голосом вещает о том, что такое ИБ и как важна она для предприятия. Съемка ведется в обычном классе с плохим освещением и слабой акустикой. Человек говорит монотонно и уже минут через 5 после начала начинаешь не только скучать, но и зевать ;-) Ни о каких спецэффектах и говорить не приходится. Длительность курса несколько часов (если не дней) - представить, что кто-то из обычных сотрудников будет его слушать я не могу. А цена курса о-о-о-очень неслабая.
Стоило уйти в отпуск, как произошло сразу два поглощения в области информационной безопасности: 1. Motorola поглотила AirDefense. Последняя была известна в сегменте защиты беспроводных сетей. Учитывая, что в беспроводных технологиях, один из ключевых вопросов, мешающих их развитию, это безопасность, действия Motorola являются вполне обоснованными. Вопрос только в том, что сама Motorola ранее не была замечена в сколь-нибудь активной работе в данном направлении (по крайней мере публичной). 2. McAfee покупает Reconnex. 46-тимиллионная сделка позволила McAfee выйти на рынок DLP, вслед за EMC, Symantec, Trend Micro и рядом других производителей ИБ.
Компания LETA IT-company выпустила второй отчет "Навстречу переменам: рынок информационной безопасности 2007-2008", посвященный рынку ИБ в России. У меня и к первому отчету были серьезные претензии, но видимо авторы второй версии не приняли во внимание всю ту критику, которая на них свалилась. При этом авторы смело заявляют "Первый отчет был выпущен в начале 2007 года и многие его оценки стали признанными фактами на рынке информационных технологий".
Что же меня смутило в этом отчете? Во-первых, названный объем рынка в 912 миллионов долларов. Наверное, приятно причислять себя к почти миллиардному рынку, но эта цифра не просто взята с потолка, - она притянута за уши. Причем авторы противоречат сами себе. В прощлом отчете объем "белого" рынка ИБ составлял 250 миллионов; в этом - 431. При этом цифра рост объявляется в 45-50%! Как у математика (в прошлом) у меня при этих объемах такого роста никак не получается. Другая цифра - 6% всего рынка - это аппаратное обеспечение. Только мы, как один из крупнейших производителей именно аппаратной безопасности, зарабатываем в России вдвое больше. А ведь помимо нас встречаются и другие игроки (нечастно, но встречаются ;-)
Вообще приведенные цифры, кроме как гаданием на кофейной гуще не назовешь. "Белый" рынок, "черный" рынок, "серый" рынок? Как его оценивали? Откуда такие цифры? Что в них входит? Если только то, что четко называется средством защиты, то 912 миллионов - это оценка раза в 2,5-3 превышает реальность. Если речь идет даже о встроенных в инфраструктурные решения механизмах безопасности (ОС, СУБД, маршрутизаторы, коммутаторы), то емкость рынка превышает оценки LETA в разы. Правда про последний вариант LETA даже не упоминает.
Во-вторых, непонятна методика подготовки отчета и источники информации. В преамбуле сказано, что цифры взяты путем опроса участников рынка. Cisco как бы и не последняя на российском рынке (если не сказать первая по данным Cnews) ИБ, но нас не спрашивали. Это конечно не показатель, но сомнение в остальных оценках закрадывается. И вообще, почему в отчете не указаны компании, которых опрашивали? Чего скрывать их имена? Может потому, что никакого опроса и не было?
Главным разочарованием авторы отчеты называют "отсутствие роста широкого применения международного стандарта ISO 27001". А кто его вообще предсказывал, этот рост? "Эксперты" LETA? Ни один здравомыслящий специалист такого предсказать не мог. Да, интерес к стандарту есть. да, есть первые попытки сертификации. Но ни о каком широком применении необязательного стандарта речи и быть не может. Если уж авторы ссылаются на то, что пользовались данными Gartner, то могли бы посмотреть на оценки этой международной компании. А она еще пару лет назад предсказывала, что стандарты ISO 2700x выйдут на "плато продуктивности" не раньше чем через 5-10 лет.
Главной удачей рынка называется активный рост сегмента DLP. Это просто смешно. Активность Infowatch и Perimetrix на данном поприще еще не говорит о том, что рынок развит. Все DLP-вендоры вместе взятые заработали в России от силы миллионов 6-10 (LETA, правда, называет цифру в 24 миллиона). При правдивости данных LETA - это меньше процента. Интересное толкование удачи. И вообще DLP не дает покоя специалистам LETA. Почему-то они считают, что быстрый рост данного сегмента российского рынка связан с выходом документов ФСТЭК по персональным данным и выходом российских компаний на IPO и обязательным соответствии SOX. Однако 4-ка нормативных актов ФСТЭК по защите ПДн вообще ни слова не говорит про DLP-решения (даже косвенно), а IPO необязательно должно осуществляться в Америке, где и действует SOX/
Одной из главных тенденций развития угроз эксперты LETA называют угрозы для мобильных устройств. И я опять задумываюсь о том, что не стоит слепо копировать западные отчеты и надо иногда думать. Я активно езжу и в России и зарубежом и еще ни разу не столкнулся с мобильной угрозой. НИ РАЗУ!!! Мобильный Касперский у меня раз пять на смартфоне "вылез" и то по поводу неизвестного отправителя SMS. Угроза мобильных угроз очень сильно раздута. Да, про нее нельзя забывать и через несколько лет она станет актуальной (может и в России). Но нельзя же ее называть одной из главных. Вывод о росте интереса к мобильным устройствам со сканерами отпечатков пальцев я комментировать не буду.
Интересный вывод сделан о том, что одной из важных тенденций 2007 года стал "экономический" подход при выборе и внедрении решений ИБ. Мол, многие компании научились считать стоимость своей информации и активно используют методы финансовой отдачи в проекты по ИБ. Где, кто?.. Ау?!..
Некоторые моменты отчеты вызывают недоумение и вопросы. Например, авторы почему-то ставят знак равенства между ISO 20000 и ITILv3. А ведь последний был выпущен двумя годами позже ISOшного стандарта. В отчете, датированном 2008-м годом (не ранее марта), упоминается компания Vontu, которую Symantec купил еще в прошлом октябре.
Интересно посмотреть на отчет и с точки зрения стилистики и русского языка (про орфографические ошибки, согласование падежов я вообще не говорю). Например, в начале отчета приведены главные драйверы роста рынка ИБ в России. Но по ряду из них написано, что они не являются общеприменими и скорее отражают частный случай. Какже он тогда стал драйвером роста? С удивлением узнал, что термин СУИБ вообще мужского рода; хотя всегда считал, что СУИБ, это система, т.е. она.
Из всех выводов LETA я могу согласиться только с одним - "В 2007-2008 гг. произошло усиление внимания государства к вопросам защиты конфиденциальной информации, за это время было выпущено ряд нормативных актов". Правда, чтобы сделать такой вывод, не надо обладать аналитическим умом.
Пугает меня заключение, данное в конце отчета: "Компания LETA продолжит исследование российского рынка информационной безопасности. В дальнейшем будут выпушены исследования как по отдельным сегментам, так и по рынку в целом (2009 год). LETA IT-company надеется, что эти исследования, которые компания готовит для себя, будут востребованы всеми участниками ИТ и ИБ рынка."
Сегодня прошло первое очное заседание экспертного совета по вопросам защиты от внутренних угроз ИБ. У совета есть свой сайт - http://www.dlp-expert.ru/. На сайте уже сейчас есть много полезной информации и планируется его наполнять еще больше.
Комментарии к моей статье по легитимности контроля электронной почты выявили интересную (но неприятную) закономерность. Безопасники в массей своей не считают целесообразным соблюдать действующее законодательство, мотивируя это, как правило, двумя основными тезисами: - я занимаюсь ИБ и все, что я делаю на благо работодателя, законно по определению, а на права рядовых сотрудников мне "с высокой колокольни" - для скользких тем отсутствует правоприменительная практика и жесткость законов компенсируется необязательностью их исполнения.
Я с этим столкнулся еще несколько лет назад, когда преподаватели ряда ВУЗов, учащие студентов вопросам ИБ и защите интеллектуальной собственности, занимались кражей этой самой собственности и плагиатом! И ведь они не считали себя виноватыми!
Другой интересный вывод касается кругозора большинства безопасников (я сам, когда писал статью, понял, что в этой части мало подкован) в юридической плоскости. Очень многие знают профильные законы - трехглавый, "О персональных данных", "О коммерческой тайне" и т.п., но за рамки этих нормативных актов они не выходят и не думают выходить. А ведь эти законы не висят в воздухе - они опираются на Конституцию РФ, Кодексы, другие законы, в т.ч. и на европейское законодательство. И занимаясь ИБ, мы не должны забывать, что все наши действия не могут нарушать действующее законодательство.
И ситуация не движется с места... Такое я замечал много лет назад, такой подход остался и сейчас. А ведь еще Эйнштейн как-то сказал: "Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень". Это касается и безопасности, которую надо решать, привлекая знания и умения из разных областей...
Совершенно случайно наткнулся на фан-клуб Евгения Касперского. Почитал восторженные отзывы о ЕК, полюбовался фотографиями его встреч с детьми, посмотрел ролик с YouTube "Как русский царь завоевал весь мир"... Конечно ему не откажешь в том, что он сделал себя сам, а маркетинговая машина ЛК - одна из самых агрессивных в России, но... что-то это очень сильно напоминает времена культа личности... ну вы знаете кого...
Существует распространеннок заблуждение о том, что в целях информационной безопасности одноименная служба имеет право перлюстрировать электронную почту сотрудников в целях поисках в них утечек конфиденциальной информации. Этому мифу подвержены, что характерно, и известные специалисты. Их точка зрения мне понятна и отчасти я ее разделяю. Действительно в целях ИБ мы должны контролировать разные каналы, по которым может утекать информация из компании.
Но помимо здравого смысла мы не должны забывать, что все наши действия должны соотноситься с буквой закона и не нарушать его. А вот это-то и происходит сплошь и рядом. К сожалению, специалисты по ИБ часто не знакомы с законодательством не только в области ИБ, но и в смежных областях, без которых их деятельность будет неполноценной. Одной из них является тайна переписки, дарованная нам 23-й статьей Конституции. Как не пыталались ее дезавуировать. И то, что на работе не может быть личной переписки, и что сотрудники не имеют права писать на работе личные письма, и что все написанное работником принадлежит работодателю, и что перлюстрация разрешена законом "О коммерческой тайне"... Но все это не совсем так.
Бурные баталии на bankir.ru, RU.SECURITY (Fido), securitylab.ru привели меня к мысли, что надо попытаться объединить все точки зрения в едином материале, что я и сделал, специально для портала bankir.ru.
Первая часть статьи опубликована тут, вторая тут, а ее обсуждении идет как на форуме, так и под самими статьями.
В России такими носителями у нас пока являются паспорта, но тенденция налицо - правительство (или околоправительственные структуры) озаботилось вопросами безопасности всерьез. Сначала невыполнимые требования по персданным, теперь их развитие, спроецированное на биометрию, скоро сделают достоянием гласности требования по защите критических инфраструктур... Защищать информацию становится все сложнее, а рынок окологосударевых разработчиков, которые совсем недавно считались почившими в бозе, опять возрождается ;-(
ЗЫ. Я, например, счастливый обладатель паспорта с биометрией. По идее это дает мне преимущество при поездках за границу - в "Домодедово" и "Шереметьево-2" есть отдельный пограничный пункт для владельцев такого чуда. Правда, сколько я не летаю, это окно все время закрыто ;-(
18 мая 2007 года (в ПРОШЛОМ году) заместитель директора ФСТЭК России утвердил следующие документы по безопасности критических систем информационной инфраструктуры (возможно проекты):
- "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры"
- "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры"
- "Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры"?
Также Секретарем Совета Безопасности 08.11.2005 утвержден докумет "Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий".
Согласно этим документам Ключевые системы входят в состав следующих сегментов информационной инфраструктуры:
- системы органов государственной власти
- системы органов управления правоохранительных структур
- системы финансово-кредитной и банковской деятельности
- системы предупреждения и ликвидации чрезвычайных ситуаций
- географические и навигационные системы
- сети связи общего пользования на участках, без резервных видов связи
- системы специального назначения
- спутниковые системы для обеспечения органов управления и в спец. целях
- системы управления добычей и транспортировкой нефти, нефтепродуктов и газа
- программно-технические комплексы центров управления ВСС
- системы управления водоснабжением и энергоснабжением
- системы управления транспортом (наземным, воздушным, морским)
- системы управления потенциально опасными объектами.
По имеющейся информации в государственный реестр КСИИ, который ведет ФСТЭК, уже включено около 1200 систем. Официальный статус реестру планируется придать постановлением Правительства РФ в середине – конце 2008 г.
Интересный парадокс связан с 4-ой документов. В требованиях к защите персональных данных нет ни слова про решения по отражению утечек этих самых персональных данных (DLP). Максимум, что они упоминают - регистрацию фактов доступа к защищаемым данным... но не блокирование их утечки ;-( Поэтому заявления о том, что закон позволит предотвратить утечки баз данных из наших госструктур, операторов связи или финансовых учреждений, не более чем не соответствующий действительности PR.
Начнем с исходных данных. Возьмем мой смартфон Nokia E61i. В нем есть (помимо всего прочего) телефонная книжка с персональными данными моих коллег по работе, а также руководителей служб ИБ разных компаний, с которыми я общаюсь и которые работают в разных регионах нашей необъятной Родины. Число таких контактов невелико - всего 2-3 сотни. Теперь посмотрим, что это значит для меня с точки зрения закона "О персональных данных".
1. Мой телефон является ИСПДн, которую можно отнести к разряду однопользовательских.
2. Личными и семейными нуждами пользование телефона не ограничивается.
3. Класс данной ИСПДн вычисляется как функция от объема ПДн и категории ПДн. Значение объема для меня будет не 3, как можно было бы предположить (менее 1000 субъектов ПДн), а 1, т.к. эти субъекты разбросаны по разным субъектам РФ. Категория будет вторая. Таким образом, итоговый класс моей ИСПДн будет К1.
4. Что я должен сделать для защиты своей ИСПДн? Немало. Я должен: - защищать как сами ПДн в телефонной книжке, так и все телефонные переговоры с субъектами ПДн. Причем последнее должно выполняться сертифицированными средствами криптографической защиты информации - средства защиты моего телефона должны иметь сертификат ФСТЭК - ПО моего телефона (как минимум телефонная книжка) должно быть сертифицировано на отсутствие недекларированных возможностей - провести аттестацию своего телефона - иметь лицензию ФСБ на шифрование (ведь я обязан шифровать ПДн) - иметь на телефоне IDS, обнаруживающие аномалии - иметь МСЭ 3-го класса - реализовать замкнутую программную среду - автоматически идентифицировать и аутентифицировать аппаратные составляющие моего телефона - реализовать ролевое управление системой защиты своего телефона - контролировать информационные потоки к системе защиты своего телефона - очищать оперативную память после завершения работы с ПДн - маркировать и регистрировать все печатаемые с телефона данные (а посылать на печать он умеет) - автоматически контролировать корректность работы аппаратных частей телефона - реализовать автоматичесую проверку на наличие ПМВ при импорте в ИСПДн всех программных средств, которые могут содержать ВП, путем проверочной их активизации в специальной изолированной виртуальной среде, моделирующей среду ИСПДн, с анализом их кода методами трассировки и отладки непосредственно во время активного состояния программных средств - установить на телефон Honeypot - идентифицировать и аутентифицировать вход в систему защиты, а также любую операцию управления - регистрировать запуск/останов работы всех подсистем системы защиты - регистрация каждой операции управления системой защиты - установить на телефон поведенческую HIPS - автоматически блокировать обнаруженные атаки - контролировать целостность системы защиты, ее обновлений и компонентов - обеспечить физическую охрану телефона - регулярно сканировать телефон на предмет наличия в нем уязвимостей - иметь второй телефон с копией системы защиты для ее периодического обновления и контроля работоспособности - и еще по мелочи...
5. Что у меня все-таки реализовано: - блокирование терминала после заданного интервала неактивности - антивирусный контроль - идентификация при входе в телефон по паролю условно-постоянного действия не короче 6 символов.
И как позвольте все это выполнить? А ведь у меня смартфон еще из продвинутых и я, по идее, могу на него поставить какие-нибудь защитные системы (если бы они существовали в природе). А что делать пользователям обычных телефонов?
