ФСТЭК начинает бороться с коррупцией в своих рядах

ФСТЭК на своем сайте опубликовала проект Приказа "Об утверждении Положения о порядке проведения антикоррупционной экспертизы нормативных правовых актов (проектов нормативных правовых актов) Федеральной службы по техническому и экспортному контролю".

Положение разработано в соответствие с пунктом 3 части 1 статьи 3 Федерального закона от 17 июля 2009 г. № 172-ФЗ "Об антикоррупционной экспертизе нормативных правовых актов и проектов нормативных правовых актов".

Суть Положения проста - юристы ФСТЭК проводят экспертизу выпускаемых ФСТЭКдокументов по методике проведения экспертизы проектов нормативных правовых актов и иных документов в целях выявления в них положений, способствующих созданию условий для проявления коррупции, о которой я уже писал. Срок экспертизы - не более 10-ти дней с возможностью увеличения еще максимум на 20 дней.

Осталось подождать, когда будет принято данное Положение и, главное, когда оно начнет реально работать.

Подробнее…

ФСТЭК выпустил методические рекомендации по методическим рекомендациям

Одно из региональных управлений ФСТЭК выпустило "Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Иными словами это методичка как пользоваться методическими документами ФСТЭК, известными всем под названием "четверокнижие".

По сути своей этот 58-тистраничный документ представляет собой некоторые разъяснения по неосвещенным в четверокнижии моментам. Например, ФСТЭК прямо пишет, что "практически все ИСПДн являются специальными информационными системами, поскольку в соответствии с требованиями Постановления Правительства №781 должна быть обеспечена возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Таким образом, обеспечение целостности является обязательным условием, отличным от конфиденциальности". Аргументация, конечно, корявая, но вывод сделан правильный.

Однако несмотря на это, специальной ИСПДн все равно необходимо присвоить класс исходя из "Приказа трех". Т.е. специальная ИСПДн тоже классифицируется исходя из 4-х классов на основе объема и категории ПДн. Из других "интересных" рекомендаций:

• Создание выделенного подразделения, единственная задача которого - защита ПДн.
• Модель угроз ни с кем согласовывать не надо (особенно с ФСТЭК).
• На основании модели угроз разрабатывается перечень защитных мероприятий. Ни слова про "Основные мероприятия". Т.е. как бы список разрабатывается самостоятельно. Но вот далее ниоткуда возникает требования опираться только на перечень защитных мер из "Основных мерпориятий". Связи я так и не нашел.
  
• Уничтожение ПДн с магнитных носителей должно осуществляться только средствами гарантированного уничтожения информации.
• Дана таблица соответствия классов и типов ИСПДн классам АС согласно РД ФСТЭК.
• Дана таблица соответствия классов и типов ИСПДн классам МСЭ согласно РД ФСТЭК.
• Интересно, что ссылки на нормативные документы ФСБ по защите ПДн даются не сайт ФСБ, не на сайт РКН, а на сайт Информзащиты и сайт www.iso27000.ru.
• Для ИСПДн 1-го и 2-го класса разрешается исключить из модели угроз утечки за счет ПЭМИН. Про остальные технические каналы утечки ни слова - защиту от акустики и видовых утечек обеспечивать все равно надо.
• Под декларированием ФСТЭК в нарушении ФЗ "О техническом регулировании" понимает просто издание оператором ПДн документа, объявляющего ИСПДн соответствующей требования безопасности. Напомню, что это требуется для ИСПДн 3-го класса.
• Аттестация проводится лицензиатом ФСТЭК. По идее любым, но при условии наличия у него спецаппаратуры, что есть далеко не у всех.
• В качестве средств защиты от НСД можно использовать ОС с сертификатом ФСТЭК.
  

Из очень полезных разделов этого документа могу назвать:

• Содержание Положения по организации и порядку проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
• Списки и содержание документов, требуемых для обеспечения ПДн (например, журнал маркировки носителей ПДн, журнал учета СЗИ, инструкция по порядку резервирования ПДн).

Большой интерес вызывают приложения этой методички. В частности, в них приведены формы следующих документов:

• Акт классификации ИСПДн (ничем не отличается от выложенного мною).
• Матрица доступа пользователей к защищаемым информационным ресурсам ИСПДн
• Приказ "Об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн"
• Список сотрудников, доступ которых к ПДн, необходим для выполнения служебных обязанностей
• Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн
• Модель угроз
• Требования по обеспечению безопасности ПДн при их обработке в ИСПДн
• Журнал учета СЗИ
• Заключение о возможности эксплуатации СЗИ
• Инструкция по организации резервирования и восстановления ПО, баз ПДн
• Журнал учета машинных носителей ПДн
• Акт обследования ИСПДн
• Заключение по результатам атестационных испытаний
• Описание системы защиты ПДн в ИСПДн
• Аттестат соответствия ИСПДн
• Уведомление об обработке ПДн
• Свидетельство о неразглашении конфиленциальной информации (персональных данных)

Можно заключить, что отдельные управления ФСТЭК пошли навстречу потребителю и выпустили документы, которые уменьшают число вопросов по официальной позиции регулятора. Не со всем в этом документе я согласен, но наличие большого количества шаблонов документов, делает документ достаточно полезным.

ЗЫ. Начну выкладывать формы упомянутых документов сюда в блог в ближайшее время.

Подробнее…

AT&T покупает консалтинговый бизнес Verisign

1 октября AT&T анонсировала покупку консалтингового бизнеса по безопасности компании Verisgn. Детали сделки не разглашаются. Судя по всему, AT&T решило не упускать поляну, на которой уже давно сидят Verizon и BT с их мощными подразделениями по ИБ.

Подробнее…

Cisco и отечественные разработчики ИБ

В предверии CiscoExpo, о которой я уже писал, хочу коснуться темы поддержки западными вендорами отечественных разработок в области ИБ. В этом году было решено сделать отдельный поток, посвященный интеграции решений моего работодателя (Cisco, если кто е знает) с различными отечественными разработчиками.

Первое описываемое решение - совместный продукт отечественной компании ЦАИР и Cisco для операторов связи. Данное решение ориентировано на операторов широкополосного и мобильного доступа в Интернет, и позволяет им предоставлять услугу "Родительский контроль" для своих абонентов. Решение основано на архитектуре Cisco SEF и системе URL-категоризации компании ЦАИР.

Компания "Поликом-Про", российский системный интегратор, будет демонстрировать программно-аппаратный комплекс, представляющий собой совместное решение Cisco, "С-Терра СиЭсПи" и "Лаборатории Касперского". Решение призвано повысить безопасность периметра сети без изменения существующей ИТ-инфраструктуры компании. Cisco NME-RVPN c ПО "Лаборатории Касперского" представляет собой модуль, встраиваемый в маршрутизаторы Cisco ISR серий 2800 и 3800. Он позволяет строить защищённые туннели с использованием алгоритмов ГОСТ, проверять HTTP- и FTP-трафик на наличие вредоносного кода, а также обеспечивать антивирусную и антиспам-защиту почтового трафика. Решение гарантирует комплексную защиту от всех видов вредоносных программ на уровне шлюза. Благодаря объединению в одном модуле антивирусной защиты и средств шифрования, оно идеально подходит для небольших и территориально-распределенных компаний.

Третье анонсируемое на CiscoExpo решение - интеграция системы безопасности мониторинга, анализа и реагирования на события Cisco MARS и системы контроля защищенности и соответствия стандартам MaxPatrol, разработанной компанией Positive Technologies. Интеграция продуктов позволяет использовать результаты оценки защищенности, полученные MaxPatrol в системе Cisco MARS. Эта информация используется системой Cisco MARS для построения топологии сети и корреляции событий безопасности с учетом реальных уязвимостей, обнаруженных MaxPatrol.

Подробнее…

Роскомнадзор запускает портал по ПДн

И вновь об Интернет-ресурсах. Пару недель назад я уже проходился на тему того, что РКН ничего не делает для реальной защиты и субъектов и операторов ПДн. И вот приятные новости - РКН запустил портал по персональным данным. Пока там немного действительно полезной информации - FAQ да 57 отечественных нормативных актов по ПДн. Есть еще форум, но судя по его правилам, размещаться на нем сообщения будут только путем премодерации. Т.е. действительно острого там ничего не будет. Но начинание похвальное...

Подробнее…

Энциклопедия по ИБ по-русски

В Интернете запущен новый ресурс WikiSec, который должен стать по задумке авторов, энциклопедией информационной безопасности. Проект только стартует и информации там маловато, но так как в его основе оежит идеология Wiki, то каждый может стать автором WikiSec.

PS. Складывается впечатление, что это продолжение проекта "Открытая безопасность" с сайта IT4Business. Там он исчез, зато возродился как птица Феникс в новом месте.

Подробнее…

Применение DLP с точки зрения российского и международного законодательства

На конференции DLP Russia 2009 я выступаю с докладом "Российские и международные стандарты и нормативы в контексте DLP-решений". Презентацию выкладываю.

DLP As Part Of Security Standards

View more documents from lukatsky.

ЗЫ. Опять же презентация сделана в русле уже не раз упомянутого курса по стандартам и законам в области информационной безопасности. Тема, начатая на InfoSecurity, продолжается.

Подробнее…

Что думает ФСТЭК о своих документах по ПДн

Лежит у меня перед глазами официальное письмо ФСТЭК в одну отечественную организацию, в котором она (т.е. ФСТЭК) отвечает на ряд вопросов. Не буду пересказывать все 5 страниц этого манускрипта, коснусь только ключевых моментов:

1. Четвере документа ФСТЭК "содержат информацию ограниченного доступа, не являются нормативными правовыми актами и не требуют особой процедуры их опубликования". Где там информация ограниченного доступа? И как быть с требованием наличия лицензии на ТЗКИ, которая меняет правовой статус оператора ПДн и, следовательно, требует выполнения ПП-1009 (которое в письме, кстати, тоже упоминается, но в контексте "Приказа трех").
2. "В пакете документов ФСТЭК сохранена преемственность подходов ранее разработанных документов, а для ряда классов информационных систем они значительно упростились". Про преемственность - полная правда. Документы по гостайне или коммерческой тайне очень похожи на четверокнижие. А про упростились, видимо ФСТЭК имеет ввиду 4-й класс ИСПДн ;-)
3. Методички ФСТЭК утверждены в феврале 2008 года, т.е. до вступления в силу Постановления Правительства РФ от 5 марта 2009 г. о коррупциогенности и "не требуют проведения эксперты в целях выявления в них положений, способствующих созданию условий для проявления коррупции". Согласен, если бы ФСТЭК не изменял свои документы уже несколько раз. Правда, каждый раз изменения касаются всего, кроме даты подписания ;-) Она по-прежнему - февраль 2008 года.
4. "В настоящее время ФСТЭК России проводит работу по приведению в соответствие с ФЗ-294 документов ФСТЭК по вопросам проведения государственного контроля и надзора". Хотелось бы посмотреть ;-)
5. Для аттестации ИСПДн 1, 2 и 3-го распределенного класса можно привлечь любого лицензиата ФСТЭК.

Вот такое письмо. Написано согласно законам бюрократии - текста много, пользы ноль. Зато формальности соблюдены ;-(

Подробнее…

Стандарты безопасности АСУ ТП

Вчера на InfoSecurity выступил и со второй темой - "Стандарты безопасности АСУ ТП". К сожалению, несмотря на трехкратное напоминание, организаторы так и не поставили эту тему в программу, поэтому аудитория была не готова к моему выступлению - вопросов почти не было ;-(

Но зато мне удалось систематизировать собственные знания в области международных и российских (есть и такие) стандартов безопасности АСУ ТП. Получилось, на мой взгляд неплохо. Есть о чем подумать и тем, кто работает с АСУ ТП, и тем кто защищает, и тем кто разрабатывает свои локальные стандарты.

Scada Security Standards

View more documents from lukatsky.

ЗЫ. Опять же я продолжил тему, начатую (тут и тут) в прошлом году, и посвященную стандартам. Да и курс по 500 стандартам наполняется ;-)

Подробнее…

Как в пылу борьбы за R и C не забыть про G?

Сегодня у меня два выступления на InfoSecurity Russia 2009. Первое из них посвящено тематике Security Governance. Очень сложно за 10-15 минут осветить эту непростую тему. Поэтому я сконцентрировался на ключевых концепциях.

Как в пылу борьбы за C и R, не забыть про G

View more documents from lukatsky.

PS. На прошлогодней InfoSecurity Russia 2008 я уже выступал с похожей темой, но решил вновь к ней обратиться, т.к. сдвигов пока не видно.

Подробнее…

Об активности и пассивности операторов ПДн

Участвуя в последнее время в различных публичных и не очень мероприятиях по тематике персданных обратил внимание на интересный момент - абсолютная пассивность операторов персданных ;-(

Задавая вопрос регуляторам мало кто называет свою организацию, опасаясь, что придут и проверят (хотя это малореализуемо на практике). Спорные вопросы федерального закона и постановлений правительства тоже никто не спрашивает официальным путем. А ведь, отвечая на вопросы на публичных мероприятиях, представитель регулятора в общем-то не озвучивает никакой официальной позиции, на которую можно сослаться в будущем. Такая позиция может быть получена только при официальном запросе в федеральной орган исполнительной власти. А этого опять никто не делает, опасаясь, что "придут и накажут за инициативу". При выступлениях представителей АРБ и ЦБ все пытаются узнать их мнение, а на прямой вопрос со стороны этих организаций "А вы присылали нам официальный запрос на получение рекомендаций?" все отвечают "А вы разве ответите?" ;-) Т.е. все ждут рекомендаций, как вести себя и что делать, но никто не хочет проявить инициативу и спросить самому у регулятора, МинЮста и т.п. разъяснение. А ведь мы живем не в той стране, чтобы регуляторы самостоятельно разъясняли какой-то нормативный акт и давали какие-то рекомендации.

Вот и получается полный вакуум. Операторы хотят разъяснений, но не готовы их запрашивать от своего имени, а регуляторы и иные "весомые" организации готовы (или обязаны) их давать, но не хотят делать это по собственной инициативе. А в итоге пострадают сами операторы, которые чего-то побоялись спросить.

А 1-е января близится...

Подробнее…

Дворники занялись персданными

Интересная ссылка найдена на блоге по ПДн. Суть проста - инженер завода решил стать предпринимателем и в качестве бизнеса задумался податься в тему персданных. По его мнению тема денежная, спрос большой, порог вхождения нулевой, предложение отсутствует. И он почти прав ;-) Если уж обычный заводской инженер "не в теме" увидел это, то что ж говорить о регуляторах и интеграторах безопасности ;-)

Хороша концовка - "Да, в теме персональных данных и пр. - я не профи, разбираюсь пока поверхностно (буквально, как только заинтересовался - начал изучать ФЗ, сопутствующие материалы)". Как отмечено в блоге на ЖЖ, скоро уже и дворники пойдут переквалифицироваться в специалистов по персданным ;-)

Подробнее…

Типовой акт классификации ИСПДн

Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.

Типовой акт классификации специальной ИСПДн

Подробнее…

Новая версия курса по персданным

Предыдущую версию курса по персданным я обновлял в июне и вот пришло время для новых изменений. Отчитатанную 22-23-го числа версию пополнили следующие моменты:

• ГОСТ Р ИСО/МЭК 19794 по биометрическим ПДн (10 частей)
• Ссылки на российские ресурсы по ПДн
• Действие договоров, заключенных до принятия ФЗ-152
• Примеры иска в суд и обращений субъектов ПДн к операторам
• Результаты проверок ФСТЭК
• Мотивированное непредоставление данных на запрос субъекта ПДн согласно ст.14 ФЗ-152
  
• Принцип добросовестности при обработке ПДн через Интернет
• Выгодоприобретатели с точки зрения ФЗ-152
• Постановление Правительства №512 по биометрическим ПДн
  

Подробнее…

Я на InfoSecurity Russia

Очень долгая дискуссия по поводу моего участия в InfoSecurity наконец-то разрешилась в пользу участия ;-) Правда из заявленных мной еще в июне докладов место осталось не для всех ;-(

Заявлял я следующие темы:

• В круглый стол: "GRC: что это такое?" – «Как в пылу борьбы за C и R не забыть, что такое G»
• В секцию "Вопросы реализации требований законодательства о персональных данных" - "Как читать ФЗ-152 так, чтобы оптимизировать свои затраты на защиту прав субъектов персональных данных и самих этих данных" или "Разработка частной модели угроз своими силами".
• В круглый стол "Аутсорсинг информационной безопасности" – "Какие требования необходимо предъявить к поставщику услуг безопасности. Практические рекомендации"
• В секцию "Информационная безопасность и непрерывность бизнеса" – "Как законодательство по информационной безопасности может парализовать бизнес"
• В круглый стол "Человеческий фактор и информационная безопасность" - "Психология поведения пользователя в условиях рисков безопасности или почему современные средства защиты неспособны бороться с современными угрозами?"
• В секцию "Проблемы ИБ при построении информационных систем с использованием моделей "облачные вычисления" и "ПО как сервис (SaaS)" – "Перспективы модели Security-as-a-Service в России. Что пользуется популярностью на Западе?"
• В круглый стол "Информационная безопасность: организация, экономика, управление" – "Как измерить безопасность рублем? Методики оценки инвестиционной привлекательности проектов по ИБ" (но тема в программе осталась).

Но выступать буду только по двум (спасибо Positive Technologies за приглашение):

• "Как в борьбе за R и C, не забыть про G" в круглом столе "GRC: что это такое?" (ведущий - Юрий Максимов, Positive Technologies)
• "Стандарты безопасности АСУ ТП" в круглом столе "Как соответствовать десяткам стандартов, и стоит ли вообще задумываться о Compliance management?" (ведущий - Юрий Максимов, Positive Technologies).

Как всегда, презентации будут выложены сюда после выступления.

Подробнее…

Как защищают ПДн в Латвии?

Вчера я вкратце описал, как защищают ПДн в Литве. А что в Латвии? Одноименная государственная инспекция по защите персональных данных не только отвечает за защиту прав субъектов - она же вырабатывает и требования по защите ПДн. Да, они являются обязательными, но... ничего сверхествественного в них я не заметил. Все логично, доступно и понятно. Никаких генераторов шума, навесных и обязательно сертифицированных средств защиты, никакой сертификации на НДВ, никаких обманных систем... Все предельно просто:

• использование паролей (и нет требования по их длинам и по хранению неудачно введенных паролей)
  
• использование шифрования (и не важно DES, AES там или ГОСТ)
• контроль и регистрация доступа к ПДн
• разработка регламентов и документов
• ежегодный аудит
• уведомление лиц, работающих с ПДн, о защитных мерах.

Все! Никакой аттестации, никакого лицензирования, никакого маркирования носителей ПДн, никакой функции отката от удаления вирусов, никакой классификации и модели угроз... И вообще, весь документ, описывающий требования по защите ПДн, помещается на одной странице формата А4. На одной!!! И подписан премьер-министром и министром иностранных дел Латвии, т.к. на самом высоком уровне. У нас тоже такие обязательные требования может вырабатывать только Правительство. Только на практике документы подписаны зампредом ФСТЭК.

ЗЫ. А сайт латвийской инспекции переведен на английский и русский языки (помимо латвийского).

Подробнее…

Почему Роскомнадзор ничего не делает для защиты прав субъектов?

Риторический вопрос в заголовке заметки, я задаю себе в последнее время все чаще. занявшись вплотную темой защиты персональных данных в Европе и США, прихожу к выводу, что наши и "их" регуляторы - это "небо и земля". В Европе и США цель координирующего органа по защите прав субъекта одна - соблюсти баланс интересов субъектов и операторов ПДн. При этом, они делают все, чтобы операторы понимали все требования законодательства, не собирали лишних персональных данных и т.п. В США даже советуют как обезличивать ПДн, чтобы по минимуму подпадать под требования нормативных актов. А у нас?

Ну про ФСТЭК и говорить особо не имеет смысла. Все прекрасно знают, как они предлагают защищать ПДн. Но Роскомнадзор? Он то может облегчить жизнь операторам? Он может выработать рекомендации по защите прав субъектов, по обезличиванию, по снижению объемов обрабатываемых ПДн... Но нет, то ли не досуг ему это делать. То ли он не знает, что рекомендовать. То ли ситуация еще хуже - у него основная цель кошмарить бизнес, приходя с проверками и трактуя законодательство так, как выгодно ему.

А что в других странах? Возьмем, к примеру, близкую к нам Литву. Функции уполномоченного органа в ней выполняет Государственная инспекция по защите персональных данных. В 2004-м году австрийский институт по правам человека имени Людвига Больцмана был запущен проект PHARE, который был направлен на, внимание, повышение осведомленности операторов ПДн в деле защиты этих самых ПДн для многих стран Евросоюза. На сайте инспекции можно найти множество рекомендаций по защите и ПДн и их субъектов, разработанных в рамках этого проекта. Причем эти рекомендации построены таким образом, что понятны неспециалистам в области безопасности и ИТ. Например, рекомендации по защите ПДн в Интернет состоят из следующих разделов:

• участники Интернет-обмена
  
• Интернет-сервисы
• риски нарушения прав субъектов ПДн
• применение европейского законодательства по защите ПДн к Интернет
• инструменты защиты ПДн в Интернет (интересно что помимо анонимизации разрешается и псевдо-анонимизация).

В разделе про Интернет-сервисы рассматриваются почта, Web-серфинг, новостные группы и чаты. По каждому сервису рассматриваются риски, особенности работы с ПДн, рекомендации по защите и т.п. Например, по почте рассматривается не только классическая e-mail по POP3 или SMTP, но и Webmail, а также проблема спама, справочников почтовых адресов и т.п.

И такие рекомендации даны не только для Интернет, но и для судов, правоохранительных органов, общедоступных справочников ПДн, образования, телекоммуникационного сектора и т.п.

Может у них работают сотни сотрудников, которые это все делают? Нет, всего 33 человека! Почему наш уполномоченный и далеко не независимый орган так не может? Вопрос в пустоту...

Подробнее…

Что такое адекватная защита ПДн?

Как гласит 12-я статья 152-ФЗ, для передачи ПДн в иностранные государства необходимо убедиться, что они обеспечивают адекватную защиту прав субъектов ПДн. Что это такое и как убедиться, что страна, с которой вы собираетесь общаться, входит в список "разрешенных" стран? ФЗ на этот вопрос не отвечает, как и любой другой российский нормативный акт.

Единственное, где можно встретить разъяснение этого момента, - отчет о деятельности Роскомнадзор по защите прав субъектов ПДн в 2008 году. На 21-й странице этого отчета сказано, что "адекватную защиту персональных данных обеспечивают страны, подписавшие и ратифицировавшие Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных. В первую очередь, это страны – члены Европейского Союза: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа - это страны, не входящие в зону Европейского Союза, но имеющие нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это - Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Чили, Швейцария, Южная Корея, Япония".

Евросоюз добавляет к этим странам еще США, о-в Мэн, о-ва Гернси и Джерси (три последних - территория Великобритании).

А вот что делать, если страна не вошла в этот список? В него, например, не входят Украина, Белоруссия, Казахстан и другие наши ближайшие соседи, с которыми российские организации часто ведут совместный бизнес. Российские регуляторы не дают адекватного ответа на этот вопрос. Все, на что они ссылаются, - это п.3 ст.12 ФЗ-152, где перечислены условия передачи ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн.

Мне представляется гораздо более интересным документ Евросоюза "FREQUENTLY ASKED QUESTIONS RELATING TO TRANSFERS OF PERSONAL DATA FROM THE EU/EEA TO THIRD COUNTRIES". Он приводит не только алгоритм решения данной задачи, но и в виде FAQ (ЧАВО) отвечает на многие животрепещущие вопросы.

Подробнее…

ФСТЭК проверил 80 тысяч ИСПДн

Вот читаю на портале ИСПДН.ру обзор сочинской конференции по ИБ в разрезе темы персданных. Ну про отказ от переноса сроков, обязательность требования закона особенно для банков, добрую волю регуляторов "на совершенствование методической базы и всяческой поддержки операторов персональных данных" мы слышали неоднократно. А вот резюме доклада представителя ФСТЭК вызывает определенный интерес.

Как и, главное, когда ФСТЭК успела проверить 80 тысяч ИСПДн в части соответствия четверокнижию, я не понимаю ;-( Но интересен перечень обнаруженных недостатков. Могу предположить, что именно их и будут "искать" представители ФСТЭК при осуществлении функции госконтроля и надзора (если найдут правовые основания для проверок и обойдут требования ФЗ-294). Итак перечень таков:

• Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации. Почти 100% обнаруженное нарушение - мало кто вообще в ТЗ и проекте на свою созданную когда-то систему защиты включал этот раздел, т.к. и требований-то таких раньше не было.
  
• Незавершенность классификации ИСПДн или ее ошибочность. Интересно на основании какого документа ФСТЭК определяет ошибочность, учитывая что за классификацию отвечает оператор ПДн, а не регулятор.
  
• Невыполнение работ по анализу угроз информационной безопасности. Интересно, сколько из 80 тысяч ИСПДн относилось к разряду специальных? Если это типовой сценарий, то получается, что многие классифицирует свои системы как специальные. А если большинство систем типовых, то значит и для них потребуется разработка модели угроз, несмотря на наличие базовой модели.
  
• Незавершенность разработки необходимого комплекта организационно-распорядительной документации. За 20 дней прочитать все документы (помимо остальных проверок) и определить незавершенность? Монстры!
  
• Отсутствие документов, регламентирующих порядок передачи персональных данных третьим лицам.А ФСТЭК-то тут причем? Это прерогатива РКН проверять такой вопрос. К защите ПДн он точно не относится; скорее к защите прав субъектов.
  
• Отсутствие необходимых мер и сервисов защиты информации. Сервисов ИБ? Прогресс однако в используемой терминологии. Скоро начнут использовать термин "аутсорсинг" ;-)
  
• Использование несертифицированных СЗИ. Т.е. либо проверяли по классическому четверокнижию типовые ИСПДн, либо требование по сертификации стали распространять и на спецсистемы, либо проверяемые не знали, что и когда могут проверять надзорные органы. Либо проверяли лицензиатов ФСТЭК. Но где ж их нашли столько, что у них набралось 80 тысяч ИСПДн?
  
• Невыполнение работ по аттестации ИСПДн. Ну это понятно ;-)
  
• Непринятие мер по учету машинных носителей. Ну это совсем клиника. Считать каждую флешку (а я видел варианты с наклейкой голограмм на каждую флешку) - это увеличение числа сотрудников ИБ в разы. Зато занятость населения возрастет. Все-таки большую социальную задачу решает ФСТЭК своими требованиями.
  
• Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите. А откуда это требование появилось? По ПП-781 у нас должен быть назначен всего один ответственный и, как правило, это руководитель отдела ИБ.
  
• Отсутствие достаточного количества квалифицированных специалистов. А сколько достаточно? В документах ФСТЭК про это ни слова. Или считается, что при лицензировании нужно минимум 2 специалиста со свидетельствами государственного образца? Но тогда получается, что либо всем надо пойти получать такое свидетельство, либо ФСТЭК проверял организации, где специалистов по ИБ вообще не было.
  

ЗЫ. Позиция АРБ в желании "ухода" из под ФСТЭК, РКН и ФСБ в части персданных названа эгоистичной ;-) Еще бы. Самые "денежные" организации уходят из под бдительного ока.

ЗЗЫ. А ФСБ всем рекомендовала переходить в части криптографии на аутсорсинг ;-)

Подробнее…

Новая версия документов ФСБ по ПДн

Вчера, 15-го сентября наступил последний объявленный срок подготовки проекта приказа ФСБ России по персональным данным. После этого он должен пройти процедуры согласования в ФСБ России, ФСТЭК России и будет в конце ноября - начале декабря направлен на регистрацию в Минюст России.

Что появилось в новом документе неизвестно ;-( Я свои предложения подавал в ФСБ еще в июне. Надеюсь, что-то из них было учтено в новой версии документов ФСБ. Жаль, что ФСТЭК не просил, пусть и односторонней, но все-таки обратной связи.

Предложения для ФСБ по персданным

ЗЫ. На bankir.ru можно найти и другие предложения в ФСБ по теме персданных.

Подробнее…

Trustwave покупает Vericept

Компания Trustwave, известная на рынке Managed Services и проверки соответствия требованиям PCI DSS, покупает компанию Vericept, известную на рынке DLP. Детали сделки не разглашаются.

Подробнее…

Детальная программа курса "Построение модели угроз"

Я уже писал, что затеял курс "Построение модели угроз". Учитывая обязательное требование наличия модели в документах по персданным, вопрос ее построения не праздный. А оценив сколько стоит разработка такой модели - вопрос не праздный вдвойне. На выходных читал этот курс и теперь могу описать программу более детально, чем это было сделано в июле.

Основная цель - анализ существующих подходов к разработке модели угроз. Причем акцент делается на том, "как правильно", а не как надо "для галочки" (хотя и его тоже рассматриваю). Большое внимание уделяется различным стандартам, которые упоминают про разработку модели угроз.

1. Что такое угроза и риск?
2. Классификация источников угроз
3. Характеристики угроз и элементы риска
4. Анализ рисков vs. анализ угроз
5. Зачем нужно моделирование угроз
6. Общий подход к моделированию угроз в современном мире
7. Качественная и количественная оценка: сравнение подходов
8. Можно ли доверять экспертам? Метод Дельфи
9. Моделирование угроз на разных этапах жизненного цикла системы
10. 4 стратегии анализа рисков
11. Процесс моделирования угроз
12. Идентификация угроз
13. Анализ последствий (ущерба)
14. Классификация последствий
15. Анализ неопределенностей (чувствительности)
16. Как проверить адекватность модели угроз?
17. Классификация нарушителей
18. Каталоги угроз
19. 16 методов анализа рисков и определения опасностей. Как выбрать адекватный метод?
20. Оценка рисков
21. 5 методов оценки вероятности угроз
22. Потенциал нападения
23. Какая градация вероятностей угроз правильная? 9-тиуровневая, 6-тиуровневая, 3-хуровневая...
24. Как оценить ущерб? Может ли ущерб измеряться не деньгами?
25. Ценность материальных и нематерильных активов. Имеет ли информация стоимость?
26. 12 методов оценки стоимости информации
27. Зарубежные и отечественные методики моделирования угроз - ГОСТ Р ИСО/МЭК 13335-3-2007, ISO\IEC TR 13569, ГОСТ Р 51344-99, "дерево атак", модель угроз Microsoft (методы DREAD и STRIDE), модель угроз OWASP, модель Trike, модель N-Softgoal, модель Digital Security, методики ФСТЭК для персональных данных, коммерческой тайны и ключевых систем информационной инфраструктуры, методика ФСБ и т.п.
28. Примеры моделей угроз
29. Средства автоматизации моделирования угроз
30. Как оформить модель угроз?

Среди рассматриваемых стандартов по данной теме: ГОСТ Р 52448-2005, ГОСТ Р ИСО/МЭК 13335-3-2007, ГОСТ Р ИСО/МЭК 13335-4-2007, ГОСТ Р 51901.1-2002, MAGERIT, ГОСТ 51275-2006, ГОСТ Р 51344-99, ГОСТ Р ИСО/МЭК18045, ISO\IEC TR 13569, IT-Grundschutz Methodology, AS/NZS 4360:2004, EBIOS, MEHARI, OCTAVE, FRAP, NIST 800-30, MG-2, MG-3, SOMAP, IRAM, РС БР ИББС-2.2-2009 "Методика оценки рисков нарушения информационной безопасности", Cisco SAFE и т.п.

Ближайший курс пройдет в Москве 28-го сентября в Институте банковского дела АРБ (очно и онлайн).

Презентация курса: часть 1, часть 2, часть 3, часть 4 и часть 5.

Подробнее…

CiscoExpo в Москве: безопасность с разных сторон

12-14 октября в Москве пройдет десятая, юбилейная конференция CiscoExpo. Среди прочего на конференции, как и все годы до этого, запланирован поток по безопасности. На нем будут рассмотрены различные аспекты построения защищенных сетей:

• эволюция вредоносного ПО
• будущее информационной безопасности глазами Cisco
• архитектура построения защищенной сети Cisco SAFE
• репутационные технологии защиты
• безопасность унифицированных коммуникаций
• управление конфигурациями средств защиты и сетевых устройств и их проверка соответствия нормативным требованиям
• технология NAC, 802.1x
• безопасность систем хранения данных (SAN)
• безопасность беспроводных технологий
• и т.д.

В программу данного потока также включен круглый стол по персональным данным, который веду я ;-)

В рамках CiscoExpo впервые пройдет отдельная сессия по интегрированным решениям, на которой российские разработчики представят свои совместные с Cisco решения. В частности будут представлены совместные продукты компании Cisco и компаний АйТи (мониторинг и управление ИБ), ИнфоТеКС (защита IP-телефонии), Positive Technologies (интеграция Cisco MARS и MaxPatrol), Infowatch, ЦАИР (предоставление услуги "Родительский контроль"), Лаборатория Касперского (антивирус на маршрутизаторах).

Также в дни проведения CiscoExpo пройдет бесплатное сертификационное тестирование Cisco, в т.ч. и на статус Cisco Certified Security Professional (CCSP).

Помимо бесплатного тестирования вы можете попробовать свои силы в конкурсе Cisco Challenge, в рамках которого участникам необходимо будет проявить смекалку в работе с основными сетевыми технологиями для успешного выполнения заданий. В этом году среди участники будут параллельно соревноваться в решении задач по конфигурации из следующих курсов Cisco:

• BSCI / Построение масштабируемых сетей на базе оборудования Cisco
• SNRS / Обеспечение безопасности сетей, построенных на маршрутизаторах и коммутаторах Cisco
• SNAF / Основы обеспечения безопасности сетей с помощью Cisco ASA.

Приходите на CiscoExpo!

Подробнее…

Безопасность в сослагательном наклонении - 2

Я уже писал про Концепцию развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России, датированную 92-м годом. И вот, разгребая библиотеку, наткнулся на очередное описание того, как все должно было быть. Статья Игоря Алексеевича Калайды датирована 2005-м годом. На тот момент он был зам.начальника отдела ФСТЭК и поэтому в статье описано видение этого ведомства в области нормотворчества "изнутри".

Статья расположена здесь, а сюда я вставлю только иллюстрацию из нее. Вот так должна была выглядеть система нормативно-методических документов ФСТЭК. Красным выделены уже принятые документы. Интересно, что с тех пор ничего так и не было принято. Видимо ФСТЭК (и выпуск документов по ПДн косвенно это подтверждает) покинули все квалифицированные кадры, способные довести до ума этот план и принять уже разработанные документы.

Подробнее…

Спам и персданные

Вы думали я буду писать про то, как спамеры используют наши персданные? Ан нет. Речь идет о привлечении внимания к теме персданных с помощью спама. На днях пришла спамерская рассылка с приглашением поучаствовать в двухдневном семинаре "Персональные данные. Что это такое и как их защищать". Имя организатора, конечно же, не указано, как и его e-mail. Только телефон ;-)

За сентябрь - это уже 4-е или 5-е мероприятие, посвященное персданным. Думаю в октябре будет еще больше (Cisco тоже будет проводить круглый стол в рамках CiscoExpo). Страшно подумать, что будет в ноябре ;-)

Внимание к этой теме впредверие 1-го января накаляется ;-) Интересно будет посмотреть, что изменится после 1-го января? Будут ли также активными организаторы семинаров, интеграторов, производителей средств защиты и т.п.?

Подробнее…

Отчет Делойт по персональным данным

Делойт опубликовал отчет "Оценка готовности к выполнению требований федерального закона "О персональных данных" Результаты исследования".

Отчет Делойт

Подробнее…

Слухи о новых поглощениях на ниве безопасности

PCWeek/RE опубликовал статью "ИТ-отрасль под прессом", в которой анализируются потенциальные слухи о новых поглощениях и слияних на мировом ИТ-рынке. В области ИБ достаточно интересны два "слуха":

• Cisco можеть купить EMC, а вместе с ней бизнес RSA Security, enVision (система корреляции ИБ), борьбу с мошенничеством (Fraud Management), DLP и DRM-решения и т.д.
  
• HP может купить McAfee, которая очень хочет продаться самой крупной ИТ-компании мира. Также HP может купить SPI Dynamics - поставщика программных средств защиты.

Что из этого станет реальностью, а что останется слухом, покажет время. Но слухи вполне реальные, учитывая, что объем наличных средств (что в условиях кризиса очень важно) у Cisco - 26,7 миллиардов долларов, а у HP - 10.2. Но первая сделка выглядит более реальной, чем вторая. Особенно учитывая, что HP завершает поглощение поставщика ИТ-услуг EDS (стоимость сделки - 13 млрд.долларов) и сил на новую и эффективную интеграцию у нее может не остаться.

Подробнее…

SecurityTube

Наткнулся на интересный проект (в стадии беты) - SecurityTube. Как понятно из названия он объединяет всякие ролики на тему безопасности.

Подробнее…

Разработка модели угроз только на основании их вероятности

НПП ИТБ опубликовало ряд "аналитических" материалов, в которых есть интересный тезис о том, что для разработки модели угроз достаточно посчитать только их вероятность. А для этого предлагается опираться на статистику уязвимостей и успешных атак. При этом делается классическая ошибка - статистика берется общая (с SecurityLab), а вывод об угрозе на ее основе делается для конкретной компании. Я не говорю, что статистика СекЛаба плохая, но слишком уж она общая - деления по ОС и приложениям в ней нет. А без этого делать хоть мало-мальские серьезные выводы бесполезно.

В качестве доказательства такого заблуждения достаточно привести банальный пример - выбор системы защиты для моего домашнего компьютера. Среди распространенных угроз по мнению НПП ИТБ сегодня можно выделить компрометацию системы и повышение привилегий. Исходя из выводов специалистов НПП ИТБ, чтобы защититься от этих угроз недостаточно использовать IPS или антивирус - они неспособны бороться с проблемой. Рекомендация - поставить КСЗИ "Панцирь" ;-) Но вот беда - я дома использую MacBook и с названными угрозами (как и с большинством других - спамом, вирусами, троянами, червями) пока не сталкивался (за больше чем год активного серфинга в Инете).

Также авторы аналитики забыли, что для того, чтобы считать угрозу актуальной, надо оперировать не только вероятностью ее реализации, но и потенциальным ущербом. Они же поступили просто, - напрочь отметая экспертную оценку как адекватный метод оценки, самые вероятные угрозы назвали и самыми опасными ;-)

Еще один пассаж вызвал мой интерес. В качестве безусловной истины был назван "следующий тезис – защитить можно только тот объект, который локализован (обладает заданным фиксированным набором), как в части подключаемых устройств, так и в части используемых приложений". В качестве доказательства безусловности приведена ссылка на РД ФСТЭК по АС (от 1992-го года). Вот интересно, как тогда мой корпоративный лэптоп защищается уже 4 года? А ведь ни в части подключаемых устройств (как это сделать для Wi-Fi, Bluetooth и даже обычного сетевого подключения с динамической адресацией?), ни в части используемых приложений, я не могу похвастаться формализацией - для защиты используются совершенно иные принципы, которые отметаются авторами отчета как неэффективные.

Еще интересным я посчитал другую "очевидную" истину для специалистов НПП ИТБ - якобы в корпоративных системах должен использоваться только принцип "что не разрешено - запрещено". Я уже вступал в полемику с представителями НПП ИТБ на bankir.ru и опять повторюсь - такой принцип не работает в сколь-нибудь крупной, динамичной и открытой организации. Например, в Cisco. Как будет служба ИБ разрешать 70 тысячам сотрудников доступ на каждый чих СЗИ, изначально непрописанный в политике? И сколько таких сотрудников ИБ должно быть? И как будут "довольны" пользователи в такой ситуации? На бизнес наплевать, зато ИБ будет на высоте. В качестве примера "неудачной" СЗИ названа система защиты в ОС Windows. Правда потребитель почему-то тратит миллиарды долларов на продукцию именно Microsoft, а не апологетов параноидальной безопасности в ущерб бизнесу ;-)

Мелочи, вроде невозможности рекламируемого средства бороться с угрозами на уровне бизнес-приложений (как это преподносится), я даже не буду описывать - про это на bankir.ru уже немало копий было сломано.

ЗЫ. Зато реклама СЗИ от НПП ИТБ удалась ;-)

ЗЗЫ. Материалы конца 2009-го года опираются на статистику середины 2008-го. Толи материал раньше не могли опубликовать, толи новой статистики не нашли.

ЗЗЗЫ. Опять критикую ;-( Но вчерашние и позавчерашние документы (надеюсь были полезны) немного нивелируют эту критику ;-)

Подробнее…

Виды тайн в российском законодательстве

Заметка на блоге Infowatch натолкнула меня на мысль, что я давно хотел свести воедино все виды тайн, которые упоминаются в нашем законодательстве. У Николая их получилось 16, но это связано с тем, что он считал только те, за которые существует уголовная ответственность (таких оказалось всего 13). Я проштудировал имеющееся законодательство и составил список из 50 видов тайн, на которые ссылаются те или иные нормативно-правовые акты уровня федерального закона или постановления правительства. В таблицу я вставлял не все ссылки на законы, а только некоторые (по той же гостайне этих документов свяше 20, а по персданным - свыше 40).

Общее впечатление - понятие тайн у нас так и не сформировано до конца. Пресловутый Указ №188 является не единственной попыткой классифицировать разные виды тайн - я насчитал около десятка разных классификаций. И каждая имеет право на жизнь. А уж толкований понятия "тайна" и "конфиденциальная информация" (КИ) и того больше. Чего только стоит уравнивание конфиденциальной информации с гостайной, противопоставление этих понятий, включение тайны связи в КИ или установление ее на одном уровне иерархии с КИ, и даже невключение КИ в разряд охраняемой законом информации.

Виды тайн в российском законодательстве

ЗЫ. Если кто обнаружит неточности или упущения, то буду благодарен за указание на них.

Подробнее…

3 интересных документа по ПДн

Компания Яндекс любезно поделилась тремя документами, описывающими различные аспекты ФЗ-152:

• О трудностях исполнения ФЗ-152
• Справка по европейскому опыту технической защиты ПДн
• Справка по ФЗ о лицензировании применительно к ПДн.

О трудностях исполнения 152-ФЗ

Справка по европейскому опыту технической защиты ПД

Справка по ФЗ О лицензировании применительно к ПД

ЗЫ. При использовании прошу ссылаться на Яндекс.

Подробнее…

В ожидании кибер-Катрины

Произошедшая 17-го августа трагедия на Саяно-Шушенской ГЭС и требование премьер-министра Путина проверить все критически важные объекты (КВО) страны случайно совпали с выходом 19-го августа проекта нового федерального закона США S.773 ("Cybersecurity Act of 2009"). Преамбула этого документа, планируемого к принятию в сентябре этого года, показывает, что аналогичный нормативный акт может появиться у нас... только не такого качества ;-(

Подробнее на Компьютерре...

Подробнее…

Прошел НТС Минсвязи по персданным

26 августа прошло (и еще на сайте Минсвязи) заседание Научно-технического совета при Минсвязи, посвященное проблематике ПДн (и еще один комментарий). Итог неутешительны ;-( Все признают, что ФЗ-152 не соответствует Евроконвенции, что его выполнить невозможно, что регуляторы создали очередной коруппциогенный нормативный акт. Но делать ничего не хотят ;-( Сроки переносить не планируют (пока).

Мне "понравился" следующий пассаж: "По итогам заседания участники секции решили подготовить предложения по дальнейшему анализу имеющихся противоречий нормативных правовых актов, регулирующих сферу персональных данных". До начала массовых проверок остается 3 месяца, а наши регуляторы будут и дальше искать противоречия, которых и так на НТС было приведено немало.

Роскомнадзор создаст очередную структуру с непонятной целью - Консультативный совет при уполномоченном органе по защите прав субъектов персональных данных. ФСТЭКу "рекомендовали продолжить работу по разъяснению реализации требований по защите персональных данных". Продолжить работу? Они что, ее начинали?

В итоге того, что ждали от НТС, так и не произошло ;-(

Подробнее…

Сколько денег на безопасность достаточно?

Вопрос, которым часто задается топ-менеджмент при финансировании проектов по ИБ? И казалось бы, что универсального ответа на него нет. Оказывается это не так.

Одной из первых работ по данной теме явилось исследование Лоуренса Гордона и Мартина Леба (The Economics of Information Security Investment, ACM Transactions on Information and System Security, Vol. 5, No. 4, стр. 438-457), которые в 2002 году опубликовали модель оценки оптимального уровня инвестиций в ИБ исходя из стоимости защищаемой информации. По их мнению, этот уровень должен быть равен 36.8%. Правда у данной модели есть одна сложность - мы должны оценить стоимость защищаемой информации. Но это дело поправимое ;-)

Вот такая интересная и очень полезная в жизни служб ИБ модель. Правда, тремя годами позже, Жан Виллемсон из Эстонии показал, что оптимальный уровень инвестиций может быть и выше, согласившись при этом с правильно выбранным Гордоном и Лебом подходом. В 2005-м Деррик Хуанг из атлантического университета Флориды дополнил модель Гордона-Леба профилем риска человека, принимающего решение об уровне инвестиций в ИБ, и все сразу встало на свои места.

Можно ли утверждать, что уровень затрат в 36.8% - действительно оптимальный? Четкого ответа, особенно ввиду исследования Виллемсона, пока нет. Но модель Гордона-Леба положила начало активному применение экономики и смежных наук в области информационной безопасности. Мы сейчас только в начале пути...

ЗЫ. "Любители изучают криптографию. Профессионалы изучают экономику". Алан Шиффман, 2 июля 2004 г.

Подробнее…

Безопасность и юзабилити

Вчера я писал про статью о юзабилити в безопасности, а сегодня решил выложить свою старую презентацию по этой теме (от 2007-го года).

Security And Usability

View more documents from lukatsky.

Подробнее…

Комфортность работы и сфера информационной безопасности

Для Connect'а недавно готовил статью про комфортность работы пользователя со средствами защиты и как такое понятие, как "юзабилити", влияет на уровень защищенности компании.

"Информационная безопасность (ИБ), раньше находившаяся в тени и слывшая «черным ящиком» во многих компаниях, чуть больше года назад вышла на первый план, когда сотрудники столкнулись с тем, что их доступ к «одноклассникам» был закрыт на средствах защиты Интернет-периметра. Отношение рядовых пользователей к информационной безопасности, и без того не самое лучшее, только ухудшилось, в очередной раз высветив до сих пор нерешенную проблему с комфортностью и удобством работы, которым и мешает ИБ.

Концентрируясь на себе и своей деятельности, службы ИБ обычно забывают про такое понятие, как stakeholder, т.е. заинтересованное лицо, которых с точки зрения ИБ может быть несколько. Внутри компании – это, как минимум, 7 представителей разных подразделений, «кровно» заинтересованных в безопасности, – специалист по ИБ, специалист по ИТ, юрист, кадровик, специалист внутреннего контроля или внутренний аудитор, топ-менеджер и рядовой пользователь. В зависимости от деятельности предприятия немалую роль могут приобретать и внешние заинтересованные лица – клиенты, партнеры и поставщики и даже регуляторы. И каждый из них по-разному смотрит на ИБ и по-разному ее оценивает. Не рассматривая все эти категории, коснемся только одной из них – рядовых пользователей.

Для обычного пользователя это в первую очередь комфорт от выполнения ежедневных операций, которым не должны мешать различные защитные механизмы и мероприятия. Об этом часто забывают, но именно от этого зависит отношение к ИБ в компании. Насколько пользователи готовы соблюдать те требования, которые выпускают «безопасники» и насколько пользователи будут следовать им, а не пытаться обойти? Система ИБ, построенная в соответствии с правильно выбранной архитектурой, будет способствовать росту продуктивности сотрудников, а не снижать ее. Именно эта точка зрения на архитектуру не позволяет сбрасывать со счетов такое понятие, как удобство пользования ИБ (security usability), которым часто пренебрегают разработчики средств защиты и которое почти никогда не учитывается при выборе тех или иных технических или организационных решений. В эту же точку зрения ложится известный конфликт между рядовыми сотрудниками и службой безопасности. Что важнее – интересы предприятия или различные права - на тайну, на доступ к информации, дарованные каждому гражданину Конституцией и федеральным законодательством?

Какие элементы удобства и комфортности имеют важнейшее значение для пользователей? Ключевых из них три:

• Скорость осуществления бизнес-операций
• Дружественный интерфейс
• Прозрачность разграничение доступа".

ЗЫ. Я уже обращался к этой теме пару лет назад и вот вновь решил вернуться к ней.

Подробнее…

Экономическая оценка инвестиционной привлекательности проектов по ИБ

По просьбе журнала Connect я подготовил статью про подходы к экономической оценке эффективности системы обеспечения ИБ предприятия. Вот введение к ней:

"Сегодня, в условиях нестабильной экономической ситуации, начинают меняться взгляды на информационную безопасность (ИБ). С одной стороны, многие отечественные производители средств защиты в интервью и с большой трибуны заявляют, что кризис на затронул и не затронет рынок ИБ, что заказчики не сокращают данную статью расходов, что требования регуляторов все равно надо выполнять и т.д. Но в кулуарах или на закрытых мероприятиях все признают, что эпоха изобилия кончилась, что заказчики замораживают или урезают бюджеты и что жить по старому становится все тяжелее. Да и сами заказчики не скрывают, что условия игры поменялись – их руководство уже не готово тратить миллионы не глядя, на проекты, отдача от которых неочевидна или видна только в долгосрочной перспективе. Что же делать? Как вести себя в такой ситуации?

Рецепт успеха известен давно – использование экономических обоснований для ИБ-проектов, демонстрирующих не столько затраты, сколько выгоды, получаемые организацией от внедрения той или иной системы защиты, того или иного процесса. Именно в этом и заключается основная сложность. И «ингредиенты» известны, и способ «готовки»… Но как это все применить именно к теме ИБ? Попробуем разобраться. Но для начала наметим список вопросов, которые обычно и требуют ответа на языке финансов:

• Во сколько обойдется этот проект?
• Выгоден ли этот ИБ-проект?
• Сколько надо инвестировать в этот ИБ-проект?
• Почему именно столько? Дешевле нельзя?
• Через сколько времени окупится этот проект?
• Какой продукт из двух дешевле? А выгоднее?"

Как ответить на эти вопросы, я и постарался описать в статье.

ЗЫ. Журнал должен выйти в сентябре, к InfoSecurity Russia 2009.

ЗЗЫ. Эти же вопросы я рассматриваю и в курсе "Измерение информационной безопасности".

Подробнее…

ФАС опять регулирует рынок безопасности

Я уже писал про дело челябинской компании, подавшей жалобу в ФАС на действия Лаборатории Касперского. Последняя отбилась от претензий антимонопольщиков, обосновав законность своей схемы продаж. На сайте ФАС есть и еще одна новость про ЛК. Она, якобы, не до конца раскрыла группу лиц, в которую входит Лаборатория Касперского.

И вот снова ФАС в центре событий. Информзащита подала жалобу в ФАС на Dr.Web. С одной стороны суть жалобы похожа на челябинский конфликт ЛК, а с другой Информзащита утверждает, что конфликт возник на совершенно иной почве. Dr.Web считает, что Информзащита столкнулась с проблемами в бизнесе и таким образом пытается решить их. Независимые эксперты считают, что речь идет о проигранном тендере. Все ждут решения ФАС...

Подробнее…

1-е октября 2009-го года. Апокалипсис безопасности?

Чуть больше месяца осталось до 1-го октября. Что ждет нас в этот день? Оказывается целая куча серьезных мероприятий по ИБ:

• Конференция "DLP Russia 2009"
  
• Конференция InfoSecurity Russia 2009 (последний день)
  
• Конференция Гротека "Персональные данные"
• Конференция "Непрерывность бизнеса – новое требование или объективная необходимость?"
• Ну и до кучи "ИТ в страховом бизнесе" (не по ИБ, но страховщики-айтишники скорее пойдут на профильную конференцию, чем на общую).

ЗЫ. Интересно, как такие накладки вообще были допущены?

Подробнее…

Мифы 51-53

Новые мифы:

• Традиционная телефония более защищена, чем IP-телефония
• IP-телефония не защищает от прослушивания
• IP-телефонию легко вывести из строя
  

Подробнее…

Мифы 48-50

Новые мифы:

• Сертификат ФСТЭК гарантирует защищенность
• В России запрещено использовать несертифицированные средства шифрования
• В нашем шифраторе мы используем ГОСТ 28147-89 и поэтому чисты перед законом
  

Подробнее…

Стоит ли сообщать клиентам об утечках их данных?

В США, в каждом штате существуют законы, обязывающие компании, пострадавшие от утечек данных, сообщать об этом факте пользователям, чьи данные утекли. Правильно это или нет? Стоит ли следовать этой практике и у нас, как об этом часто говорят на разных конференциях? Если отбросить логику и обратиться к цифрам, то ответ опять будет не таким очевидным.

Смотрю отчет "Do Data Breach Disclosure Laws Reduce Identity Theft?", в котором эксперты проанализировали, как принятые законы повлияли на число утечек и повлияло ли вообще. И вывод неутешительный. За период с 2002 года и по 2007-й число утечек снизилось... всего на 2%. Так стоит ли овчинка выделки?

Правда, исследователи выделяют, что такого рода законы могут нести косвенные преимущества в виде:

• роста осведомленности клиентов и самих компаний в области ИБ
• снижение усредненной суммы одной утечки
• рост уровня защищенности компаний
• улучшение операционной практики ИБ.

Но это уже другая песня. В 2006-м году Акуисти, Теланг и Фридман проводили аналогичное исследование, посвященное фактам раскрытия информации о взломе компании или инциденте ИБ с ней. Общий вывод - цена акций пострадавшей компании (если компания публичная) падает в среднем на 0.6%. Но бывают и исключения (вспомните тот же Heartland Payment System или другие приводимые мной примеры). Почти аналогичный вывод был сделан в результате анализа публичных инцидентов с утечками токсичных отходов - падение курса акций на 0.3%. Есть и более интересные исследования в смежных областях. Например, мониторинг береговой охраной водного пространства в 1984 году увеличил частоту утечек нефти из танкеров (+2.1%). Правда в 1987 году результаты аналогичного исследования показали, что число утечек снизилось на 2%.

Есть у меня стойкое подозрение, что ФЗ-152 из той же серии. На число утечек персональных данных он никак не влияет, а вот проблем для семи миллионов операторов ПДн прибавилось немало. А косвенные преимущества могли быть достигнуты и иными методами.

Подробнее…

Имеет ли право производитель ИБ устанавливать цены на свои продукты?

Казалось бы парадоксальный вопрос, но отечественная ФАС именно его и задала, возбудив дело против Лаборатории Касперского (а в будущем, может быть, и против Dr.Web). Суть дела проста - компания, не являющаяся партнером ЛК, выиграла в тендере на поставку антивируса Касперского, но не смогла ее осуществить, т.к. ЛК отказалась предоставлять свой продукт не-партнеру. ФАС решила, что отказ ЛК является нарушением конкуренции и ЛК обязана продавать свои продукты любой компании, причем не имеет права устанавливать единую рекомендованную розничную цену.

Я давал CNews комментарий по этому поводу, но они почему-то отказались его публиковать. Так что публикую здесь (не пропадать же тексту ;-)

У многих производителей программного обеспечения существует классическая схема поставки своих продуктов потребителям: производитель - дистрибутор - партнер - потребитель". Основная задача дистрибутора - формирование партнерской сети, через которую и осуществляются все продажи. Сами дистрибуторы не должны продавать товар напрямую клиенту - это ставит остальных партнеров в невыгодное положение. При этом цена, выставляемая производителем, как правило, едина для партнеров одного уровня иерархии. В противном случае возникает недобросовестная конкуренция, т.к. производитель выделяет одного из равных партнеров больше чем других, изначально ставя последних в невыгодные условия.

Дальше больше. Цена, по которой партнеры могут поставлять продукт потребителю тоже должна быть единой для всех партнеров. Это будет залогом того, что партнеры не начнут демпинговые войны в ущерб всем участникам рынка (и себе в том числе). И этот же подход позволяет уйти от порочной практики дифференциации партнеров только по ценам. Как и рекомендуют делать все гуру маркетинга и управления бизнесом. Единая цена заставляет партнеров выделяться в совершенно иных областях, сопутствующих продаже продукта, - сервисе, консалтинге, обучении и т.п. Если же ФАС вынесет решение не в пользу "единой цены", то потенциальные проблемы ждут любого производителя, который практикует такое понятие, как "рекомендованная цена". Потому что это понятие и означает единую цену для всех поставщиков этого производителя.

ЗЫ. Недавно ФАС аналогичное дело против Danon возбудило. Суть таже - магазины не имеют права продавать йогурты Danon по единой цене. ФАС считает, что это сговор.

Подробнее…

Когнитивная психология - часть вторая

Что-то потянуло меня на изучение различных исследований в области ИБ ;-)

В среду обсуждали тему когнитивной психологии и числа запоминаемых паролей. В качестве решения проблемы было предложено использовать ассоциативные пароли, создаваемые на основе различных фраз и предложений. Например, из всем известной фразы "Мой дядя самых честных правил" можно составить пароль по первым буквам каждого слова фразы - "мдсчп" или "модясачепр" (по первым двум буквам). В прочитанном мной исследовании приводился такой пример - из фразы "Four score and seven years ago, our Fathers" появился пароль "4s&7ya,oF". Очень неплохой вариант со всех точек зрения... Но так ли это на самом деле?

Специалисты лаборатории CyLab университета Карнеги-Меллона выдвинули гипотезу, что люди будут выбирать публично известные фразы для создания мнемонических (ассоциативных) паролей - из фильмов, музыки, рекламы и т.п. Как следствие, возможно создание словарей таких фраз, облегчающих подбор пароля. Набрали 290 респондентов и попросили их выбрать себе ассоциативный пароль. Затем применили два вида атак - полным перебором и по словарю. Последний создавался путем анализа разных Web-сайтов (было собрано 249000 фраз и цитат).

Что выбирали люди? Чаще всего они использовали для ассоциаций музыку и литературу (примерно по 15%). На третьем месте - фильмы (10%). Четвертое - телешоу. Пятое - известные публичные речи (вроде "Борис, ты не прав" для тех, кто помнит).

А вот дальше было самое интересное - результаты атак ;-) Если атака по словарю для обычных паролей была эффективна в 11% случаев, то для ассоциативных паролей - в 4%. Прямой перебор помог тоже в 4% случаев (для обычных паролей - в 8%). Что мы видим? Ассоциативный метод не очень сильно увеличил защищенность системы аутентификации и не может считаться не то, что панацеей, но и реальным методом повышения уровня безопасности (сложность выше, а эффективность почти такая же). С течением времени этот метод станет только хуже:

• появятся более эффективные словари фраз, а не сделанные "на коленке" для теста
• пользователи будут выбирать самые популярные фразы, что равносильно выбору пароля по имени кошки, номеру паспорта и т.п. (вычисляется очень легко)
• тупик и стресс для пользователя, которого просят не использовать широко известные фразы (он просто ничего другого не вспомнит)
• популярность метода привлечет к его анализу большее число исследователей.
  

ЗЫ. Название исследования "Human Selection of Mnemonic Phrase-based Passwords".

Подробнее…

Кто/что влияет на инвестиции в ИБ?

Вот сижу и смотрю интересное исследование, посвященное анализу стратегий инвестирования в ИБ. Оно конечно проводилось в США, но его выводы можно транслировать и на Россию. Как всем известно, основным драйвером инвестиций в ИБ внутри компаний является регулирование и законодательство. По данным отчета, этот драйвер оценивается в 30% от общего числа.

Второй, уже более интересный аспект касается того, что больше всего влияет на принятие решения об инвестициях в ту или иную технологию и проект ИБ. На первом месте находится мнение квалифицированного персонала, который знает, что лучше для компании. На втором месте - требования федерального или отраслевого законодательства. На третьем месте - результаты внутреннего аудита. Именно внутреннего. Результаты внешнего аудита оказались на одном из последних мест (всего в 12.5% организаций). Четвертое место по праву заняли данные, полученные от уже внедренных в компании систем защиты или от подразделений, ответственных за те или иные решения в данной области. В качестве таких данных могут быть отчеты Help Desk или бухгалтерии по срезу ИБ. Пятерку лидеров замыкают рекомендации и лучшие практики от NIST. На сегодня национальный институт стандартов США (аналог нашего Ростехрегулирования) выпустил свыше сотни документов, аккумулирующих лучшие практики по безопасности тех или иных аспектов. Все остальные аспекты, влияющие на инвестиции, учитываются в менее чем 25% организаций.

К чему это я все веду? Да к тому, что наши регуляторы могли бы пойти по пути NIST и вместо обязательных, но параноидальных требований "для всех" выпустить грамотные и полезные рекомендации. Они пользовались бы куда большей популярностью, да и эффект бы был для ФСТЭК более положительный. И с точки зрения репутации, и с точки зрения роста рынка, и с точки зрения финансовых вливаний в аккредитованные при ней организации ;-)

Подробнее…

Когнитивная психология и максимальное число паролей у пользователя

Специалисты по когнитивной психологии утверждают, что среднестатистический человек может одновременной удерживать в памяти 5 вещей, гений - 7, а человек с посредственными умственными возможностями - не более трех.

Какой отсюда следует вывод? Учитывая, что почти нет компаний, в которых работают не то, чтобы одни гении, но и просто среднестатистические пользователи, а также то, что рассчитывать всегда надо на самое слабое звено, то число паролей у пользователя ко всем системам должно не быть не более трех. В противном случае, он их перестанет запоминать и будет записывать на бумажке или в телефоне. Что же делать?

Вариантов, как минимум, три, - технология SSO, аппаратный токен или ПО для хранения паролей.

ЗЫ. Это из курса "Психология, теория организации и ИБ".

Подробнее…

Стоит ли сообщать злоумышленникам об уровне своей защищенности?

Вопрос, вынесенный в заголовок, не праздный. Более того, ответ на него не так прост как кажется. У многих специалистов сложилось впечатление, что, чем меньше злоумышленники знают об их системе защиты, тем выше ее эффективность. Сторонники движения security through obscurity часто ратуют за сохранение в тайне любой информации о том, какие меры и продукты защиты используются в организации. Но есть ли под этим какая-нибудь основа и рациональное зерно? Не миф ли это?

Оказывается все не так очевидно, как кажется многим. Более того, все совсем не так, как многим казалось раньше. 3 года назад, два специалиста - Марко Кремонини (Университет Милана) и Дмитрий Низовцев (Школа бизнеса Университета в Вашбурне, США) опубликовали результаты очень интересного исследования, выводы которого более чем интересны. Тем более, что опираются они на математику, а не просто на безосновательные "логические" заявления. Суть исследования "Understanding and Influencing Attackers’ Decisions: Implications for Security Investment Strategies" такова: при наличии альтернативы, злоумышленник не станет атаковать систему, об уровне защищенности которой он имеет хоть какую-то информацию. Разумеется, этот уровень должен быть ненулевым. Иными словами, Марки и Дмитрий доказывают, что поведение злоумышленников достаточно рационально и они не будут ломиться в дверь, о которой им известно, что она неприступна или обладает мощной защитой. А вот против организации, которая скрывает информацию о своей защищенности, плохие парни выйдут с большей вероятностью, т.к. рассчитывают, что скрывая состояние защищенности, компании есть чего опасаться.

Подробнее…

Изменение дизайна блога

Поднадоел немного старый дизайн "как у всех". Решил поэкспериментировать и персонализировать блог. Вот, что получилось ;-) Не знаю, пока не привык. "Не пойдет", так опять поменяю ;-)

Подробнее…

Обезличивание персональных данных - практика

Уже не раз поднималась тема обезличивания персональных данных. Что это? Как делать? Как это понимает регулятор? Пока в России идут дискуссии, в США уже предложены алгоритмы обезличивания, защищаются диссертации, разрабатываются специальные инструменты для решения данной задачи. Самой известной является модель, получившая название k-anonymity и предложенная еще в 2002 году Латаньей Суинни.

Так что если среди вас есть разработчики, то эту модель можно попробовать реализовать в реальных проектах. Учитывая, что это математическая модель, эффективность которой доказана, то претензий к ее реализации у регуляторов быть не должно. В теории...

Подробнее…

Что общего между безопасностью и футболом?

Продолжая тему аналогий, выкладываю презентацию двухлетней давности о том, что общего между безопасностью и футболом ;-)

Security and football: what's difference

View more documents from lukatsky.

Подробнее…

McAfee покупает MX Logic

30 июля McAfee анонсировала покупку частной компании MX Logic за 140 миллионов долларов. Последняя мало известна российскому потребителю. На Западе же она предлагает различные аутсорсинговые услуги безопасности или, как это стало модно, security-as-a-service (преимущественно в области электронной почты и Web).

Пока непонятно, будет ли предлагаться данная услуга в России? Да и с ее востребованностью тоже вопросы. Не готовы у нас пока потребители отдавать свою безопасность вовне - не доверяют они пока поставщикам таких сервисов.

Подробнее…

Роскомнадзор: от ворот поворот

В Хабаровском крае опротестована проверка Роскомнадзора по линии персданных. Суть проста - Роскомнадзор без согласования с прокураторой (что требуется по новому ФЗ-294) провел внеплановую выездную проверку небольшой организации. Мотивация РКН была простая - защита прав потребителей. Прокуратора посчитала такой мотив некорректным. Тем самым в действиях Роскомнадзора было выявлено нарушение законодательства.

Интересен тот факт, что эта самая небольшая организация, которая обратилась в прокуратуру, действительно нарушила права субъекта ПДн. Вот такой парадокс ;-)

К слову сказать, я о таком сценарии развития событий рассказываю в курсе "Что скрывает законодательство о персональных данных?"А тут к нему еще и доказательство появилось.

ЗЫ. Приятно осознавать, что регуляторы у нас не всегда правы ;-)

Совет: Внимательно читайте ФЗ-294 - он является очень большим подспорьем в борьбе с незаконными (да и с законными тоже, если честно) проверками со стороны регуляторов.

Подробнее…

Использование генераторов шума требует не только отдельной лицензии, но и оплаты

Наверное многие из вас читали про, как минимум, два факта, когда Роскомнадзор запрещал эксплуатацию генераторов шума (требуются для ИСПДн 1-го и 2-го класса по требованиям ФСТЭК). Позиция Роскомнадзора, который давно уже нелестно отзывался о требованиях ФСТЭК, понятна: генератор шума - это радиочастотное устройство. На его эксплуатацию нужно разрешение Роскомнадзора. Нет разрешения РКН - использовать запрещено.

Забавная ситуация складывается - есть не то, чтобы противоречающие друг другу требования. Просто на эксплуатацию генератора шума вам теперь потребуется получать разрешение РКН... помимо лицензий ФСТЭК на ТЗКИ и лицензий ФСБ на шифрование.

Но и это не все ;-) В начале этого года депутат Горбачев В.Л. внес в Госдуму законопроект, вводящий плату за использование радиочастотного спектра. Она в общем-то и сейчас есть, но с принятием нового закона, внимание регулятора к этой теме будет усилено. А значит придется раскошелиться еще и на эксплуатацию генератора шума (помимо его стоимости и стоимости разрешения). Мужайтесь...

Подробнее…

Куб МакКамбера

Вот интересно, кто из читателей блога, знает, что такое "куб МакКамбера" (McCumber cube)?

Это понятие появилось еще в 91-м году и оно определяет целостную модель для информационной безопасности, описанную Джоном МакКамбером.

Суть этой концепции достаточно проста - три измерения куба отображают три ключевых направления ИБ:

• цель безопасности (классическая триада - конфиденциальность, целостность и доступность)
  
• состояние информации (обработка, хранение, передача)
  
• защитные меры (персонал, политики и практики, технологии).

И хотя данная концепция все-таки не связывает ИБ с бизнесом (в 91-м году об этом мало кто думал), она в простой и понятной форме объясняет, что безопасность не ограничивается только техническими мерами.

ЗЫ. Надо признать, что мне в институте эту модель не преподавали и в какой-либо прессе я ее не встречал.

Подробнее…

WatchGuard покупает BorderWare

Компания WatchGuard анонсировала приобретение частной канадской компании BorderWare Technologies, работающей на рынке борьбы с угрозами для Web и E-mail для предприятий среднего размера, а также известной на рынке Managed Security Services.

Подробнее…

Что общего между безопасностью и автомобилем

Читая комментарии к заметке о "кляче, телке и безопасности", вспомнил, что около 3-х лет назад делал презентацию на тему "Что общего между автомобилем и информационной безопасностью?". Вот и решил ее выложить сюда ;-)

South Africa.pdf

View more documents from lukatsky.

PS. Почему презентация называется "South Africa"? Просто я ее читал там ;-)

Подробнее…

IBM покупает Ounce Labs

28-го июля голубой гигант объявил о приобретении компании Ounce Labs, занимающейся анализом защищенности исходного кода приложений. Продукты приобретенной компании войдут в семейство Rational AppScan. Детали сделки не разглашаются.

Подробнее…

Интеграция ИБ в процесс инвестирования и бюджетирования

Национальный институт стандартизации США выпустил интересный документ (пока проект) - NIST SP 800-65 "Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process". И хотя документ ориентирован на американские госсорганы, обязанные выполнять требования FISMA, он может быть полезен и у нас. Правда, в первую очередь, для средних и крупных компаний, где процессы бюджетирования и инвестирования более-менее формализованы.

Подробнее…

Безопасность бизнеса: сканун или кляча?

Наткнулся тут на интересную картинку и решил ее транслировать на область ИБ. Получилось прикольно и интересно ;-)

Подробнее…