Incident management (part 5)
View more presentations from Alexey Lukatsky.
9.9.10
8.9.10
7.9.10
6.9.10
Курс "Управление инцидентами ИБ" (часть 1)
В феврале я выкладывал в блог полную версию своего курса по моделированию угроз. И вот настал момент для выкладывания очередного курса. Уже по управлению инцидентами информационной безопасности. Ввиду большого объема презентации (431 слайд), курс разбит на 5 частей - как раз получается на всю рабочую неделю. Это последняя версия, которую я читал.
ЗЫ. Детальная карта курса (чтобы окинуть его взглядом с высоты птичьего полета) тут.
ЗЫ. Детальная карта курса (чтобы окинуть его взглядом с высоты птичьего полета) тут.
2.9.10
Управление К выведено за штат
За штат МВД выведено Бюро специальных технических мероприятий (БСТМ, известное как управление «К»), занимающееся борьбой с преступлениями в сфере высоких технологий и техническими мероприятиями по прослушиванию правонарушителей в рамках оперативно-розыскных мероприятий.
Выведение за штат — рутинная процедура в рамках структурных преобразований министерства, за штат будут так или иначе выведены в скором времени все подразделения, сотрудники которых после переаттестации будут вновь приняты, но уже в состав киберполиции. Как пишет сайт каспаров.ру, за штат та или иная структура милиции выводится в случаях, когда ее планируется распустить, переподчинить, сократить численность или изменить внутреннюю структуру.
В случае с управлением К роспуска не будет, но вот остальные мероприятия коснутся их могут. В частности, ходят слухи о сокращении БСТМ на четверть, а в начале года ходили слухи о переподчинении БСТМ одноименному управлению в структуре ФСБ.
Выведение за штат — рутинная процедура в рамках структурных преобразований министерства, за штат будут так или иначе выведены в скором времени все подразделения, сотрудники которых после переаттестации будут вновь приняты, но уже в состав киберполиции. Как пишет сайт каспаров.ру, за штат та или иная структура милиции выводится в случаях, когда ее планируется распустить, переподчинить, сократить численность или изменить внутреннюю структуру.
В случае с управлением К роспуска не будет, но вот остальные мероприятия коснутся их могут. В частности, ходят слухи о сокращении БСТМ на четверть, а в начале года ходили слухи о переподчинении БСТМ одноименному управлению в структуре ФСБ.
1.9.10
Что ФСТЭК думает о лицензиатах?
Наверное уже многие видели, но я решил тоже откросспостить ссылку на ответ начальника отдела управления ФСТЭК. Если это подстава, то скоро сообщение должно исчезнуть, а если это реальный ответ сотрудника ФСТЭК, то становится грустно...
Нужно ли шифрование для защиты ПДн?
Чего-то понесло меня в тему шифрования в последнее время... Видимо постоянное "окружение" влияет ;-) Но обратимся к непростому, как оказывается, вопросу: "А нужно ли шифровать ПДн?" Многие операторы ПДн почему-то считают, что убрав из текста закона фрагмент "в т.ч. использовать шифровальные средства", законодатели сказали, что это самое шифрование теперь необязательно. И да и нет. Оно и раньше было необязательным, но находились "читатели", которые в словах после "т.ч." видели обязательство применения шифрования. И вот по инициативе ФСБ фрагмент убрали и многие "читатели" ринулись в другую крайность.
Но дело даже не в этом, а в том, что все почему-то ставят знак равенства между термином "конфиденциальность", указанном в ФЗ-152, и термином "шифрование". Но ведь это не одно и тоже. Совсем не одно и тоже. Что говорит ФЗ-152 про конфиденциальность? "Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания". Где тут слово "шифрование"? Это всего лишь требование не допускать распространения ПДн без согласия их субъекта или иного законного основания. Достаточно всего лишь вписать в договор с субъектом, что ПДн передаются в открытом виде по Интернет (утрирую малость, но суть остается прежней) и вот вы уже чисты перед законом - согласие субъекта есть. Или передача данных в ФНС, ФМС, ФОМС и т.п. Обязаны передавать? Обязаны. Вот и передавайте без обеспечения конфиденциальности ;-)
Но если все-таки и согласия у нас нет, и законных оснований тоже. Остается только шифрование? Опять нет. Требование не допускать распространения может быть достигнуто разными способами. Например, передачей ПДн в контролируемой зоне. Или передачей ПДн в среде, в которой перехват данных признан в результате экспертной оценки неактуальной угрозой. Или заключением договора с оператором связи на обеспечение конфиденциальности (перекладывание рисков на чужие плечи). И только в последнюю очередь речь идет о шифровании ПДн. А если вспомнить про связку "шифрование - обезличивание", то и вовсе весело становится ;-)
Но дело даже не в этом, а в том, что все почему-то ставят знак равенства между термином "конфиденциальность", указанном в ФЗ-152, и термином "шифрование". Но ведь это не одно и тоже. Совсем не одно и тоже. Что говорит ФЗ-152 про конфиденциальность? "Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания". Где тут слово "шифрование"? Это всего лишь требование не допускать распространения ПДн без согласия их субъекта или иного законного основания. Достаточно всего лишь вписать в договор с субъектом, что ПДн передаются в открытом виде по Интернет (утрирую малость, но суть остается прежней) и вот вы уже чисты перед законом - согласие субъекта есть. Или передача данных в ФНС, ФМС, ФОМС и т.п. Обязаны передавать? Обязаны. Вот и передавайте без обеспечения конфиденциальности ;-)
Но если все-таки и согласия у нас нет, и законных оснований тоже. Остается только шифрование? Опять нет. Требование не допускать распространения может быть достигнуто разными способами. Например, передачей ПДн в контролируемой зоне. Или передачей ПДн в среде, в которой перехват данных признан в результате экспертной оценки неактуальной угрозой. Или заключением договора с оператором связи на обеспечение конфиденциальности (перекладывание рисков на чужие плечи). И только в последнюю очередь речь идет о шифровании ПДн. А если вспомнить про связку "шифрование - обезличивание", то и вовсе весело становится ;-)
31.8.10
ФАИТ доигрался - его закрыли - 2
Ну вот и долгожданный текст указа Президента о расформировании ФАИТ.
Как Роскомнадзор свою конференцию организовывал...
Решил тут Роскомнадзор свою конференцию по ПДн организовать. Да видать не знал, как это делается, а посему сделал классические ошибки, присущие любому неопытному организатору мероприятий, желающему срубить денег с горячей темы. А ошибок немало.
Во-первых, они ошиблись в названии. Занимаясь защитой прав субъектов ПДн, они назвали конференцию просто "Защита ПДн". Хотя слухи о том, что они хотят подвинуть ФСТЭК и ФСБ на технической поляне ходят давно.
Во-вторых, они выбрали самую неудачную дату для мероприятия. На следующий день после межотраслевого съезда директоров по ИБ, проходящего в Москве. Какой нормальный руководитель отпустит своих подчиненных или будет участвовать сам в двух подряд идущих конференциях длительность по 2 дня каждая? А т.к. на форуме директоров по ИБ будет и тема ПДн и множество других интересных выступлений, то боюсь, что аудиторию РКНовская тусовка просто не соберет, акромя чиновников, интеграторов и журналистов ;-) К слову сказать, в даты проведения конференции РКН будет проходить и 11-я CiscoExpo. Там хоть аудитории и не сильно пересекаются, но все же.
В-третьих, программа формировалась не по принципу важности/интересности тем, а по принципу предоставления слов свадебным генералам. Спрашивается, что такого интересного и практичного может сказать представитель Организации Договора о коллективной безопасности или представитель Исполнительного комитета СНГ? Подбор тем и выступающих тоже вызывает некоторое удивление. Руководитель РКН будет говорить про информационную безопасность, представитель 8-го центра ФСБ будет говорить про опыт работы с национальными платежными системами других стран, представитель ФСТЭК - про правовые последствия утечки ПДн, представитель БСТМ МВД - про телекоммуникационную среду...
Четвертая классическая ошибка, вытекающая из третьей, попытка дать слово всем желающим, чтобы не обидеть ненароком "высокого чина". А раз так, то всем дают по 15 минут на выступление. Ну как можно за 15 минут рассказать о новом СТО Банка России?
Второй день вообще никак не расписан - пустые тайм-слоты. И это при том, что до мероприятия меньше двух месяцев осталось. Зато сразу прописана церемония подписания Совместного меморандума о взаимном сотрудничестве в сфере защиты прав субъектов персональных данных. Видимо ради этого пункта все и делается. Потом можно будет отчитаться, что "международное сотрудничество налажено", "опытом поделились", "для операторов ПДн разъяснения проводим", "уровень безопасности вырос".
На остальные мелочи даже внимания не буду заострять и так все понятно.
ЗЫ. Может кто из организаторов посмотрит эту заметку и сделает выводы... но что-то не верится ;-(
Во-первых, они ошиблись в названии. Занимаясь защитой прав субъектов ПДн, они назвали конференцию просто "Защита ПДн". Хотя слухи о том, что они хотят подвинуть ФСТЭК и ФСБ на технической поляне ходят давно.
Во-вторых, они выбрали самую неудачную дату для мероприятия. На следующий день после межотраслевого съезда директоров по ИБ, проходящего в Москве. Какой нормальный руководитель отпустит своих подчиненных или будет участвовать сам в двух подряд идущих конференциях длительность по 2 дня каждая? А т.к. на форуме директоров по ИБ будет и тема ПДн и множество других интересных выступлений, то боюсь, что аудиторию РКНовская тусовка просто не соберет, акромя чиновников, интеграторов и журналистов ;-) К слову сказать, в даты проведения конференции РКН будет проходить и 11-я CiscoExpo. Там хоть аудитории и не сильно пересекаются, но все же.
В-третьих, программа формировалась не по принципу важности/интересности тем, а по принципу предоставления слов свадебным генералам. Спрашивается, что такого интересного и практичного может сказать представитель Организации Договора о коллективной безопасности или представитель Исполнительного комитета СНГ? Подбор тем и выступающих тоже вызывает некоторое удивление. Руководитель РКН будет говорить про информационную безопасность, представитель 8-го центра ФСБ будет говорить про опыт работы с национальными платежными системами других стран, представитель ФСТЭК - про правовые последствия утечки ПДн, представитель БСТМ МВД - про телекоммуникационную среду...
Четвертая классическая ошибка, вытекающая из третьей, попытка дать слово всем желающим, чтобы не обидеть ненароком "высокого чина". А раз так, то всем дают по 15 минут на выступление. Ну как можно за 15 минут рассказать о новом СТО Банка России?
Второй день вообще никак не расписан - пустые тайм-слоты. И это при том, что до мероприятия меньше двух месяцев осталось. Зато сразу прописана церемония подписания Совместного меморандума о взаимном сотрудничестве в сфере защиты прав субъектов персональных данных. Видимо ради этого пункта все и делается. Потом можно будет отчитаться, что "международное сотрудничество налажено", "опытом поделились", "для операторов ПДн разъяснения проводим", "уровень безопасности вырос".
На остальные мелочи даже внимания не буду заострять и так все понятно.
ЗЫ. Может кто из организаторов посмотрит эту заметку и сделает выводы... но что-то не верится ;-(
30.8.10
О рисках получения лицензии ФСБ
Весной я описывал ситуацию с ФЗ-57, который любое предприятие имеющее лицензию ФСБ делает стратегически важным для обороноспособности страны. А следовательно любые инвестиции в такие предприятия должны быть согласованы с ФАС и ФСБ. Невыполнение этого условия может привести к аннулировании сделок, инвестиций и т.п. И вот первый пример работы этого закона. Royal Bank of Scotland запретили увеличить долю в ЗАО "Королевский банку Шотландии", ссылаясь именно на этот закон.
Вот теперь и думай - получать лицензию ФСБ или нет? А еще Правительство и Президент возмущаются, почему это в Россию так мало инвестиций идет...
Вот теперь и думай - получать лицензию ФСБ или нет? А еще Правительство и Президент возмущаются, почему это в Россию так мало инвестиций идет...
ArcSight ищет покупателя
Недавно я писал про новое приобретение HP и заметил, что скоро мелких игроков на зрелых сегментах рынка почти не останется. И вот новая новость, подтверждающая правило, - ArcSight выставил себя на аукцион и готов продаться тому, кто купит этого SIEM-игрока. Потенциальных покупателей называют несколько. Среди них таже HP, Oracle, IBM, EMC и CA. Причем три последних уже имеют в своем порфолио SIEM-решения.
Для российского рынка эта новость имеет непосредственное и немалое значение. Учитывая, что после потери лидерских позиций компании netForensics, именно ArcSight заняла первое место по продажам на российском рынке. И вот неприятная для покупателей новость. Для существующих она неприятна тем, что судьба продукта теперь неясна. Если его купят IBM, EMC или CA, то что и куда вольется совсем неочевидно. ArcSight в том виде, в котором его все знают, может прекратить существование. А если его купят HP или Oracle, то все может и обойдется. Главное, чтобы продукт не постигла судьба решений ISS или OpenSolaris.
Для российского рынка эта новость имеет непосредственное и немалое значение. Учитывая, что после потери лидерских позиций компании netForensics, именно ArcSight заняла первое место по продажам на российском рынке. И вот неприятная для покупателей новость. Для существующих она неприятна тем, что судьба продукта теперь неясна. Если его купят IBM, EMC или CA, то что и куда вольется совсем неочевидно. ArcSight в том виде, в котором его все знают, может прекратить существование. А если его купят HP или Oracle, то все может и обойдется. Главное, чтобы продукт не постигла судьба решений ISS или OpenSolaris.
27.8.10
DDoS в мультфильме
Orange на базе продуктов Ciscoв области ИБ запустил услугу по защите от DDoS. Но сейчас не об этом, а о ролике, который они сделали про DDoS. Зачетный мульт ;-)
Интернет-ТВ по безопасности
Некоторое время назад я приложил руку к созданию первоапрельской шутки-новости на SecurityLab. Начиналась она так: "Группа компаний «Информзащита» объявила о создании целого пула игроков рынка информационной безопасности. К уже имеющимся 6 компаниями, входящим в группу (интегратор "Информзащита", УЦ "Информзащита", дистрибутор SafeLine, Национальный аттестационный центр, "Код безопасности" и Trustverse), было создано еще 3. "SecureTV" – компания, в сферу деятельности которой будет входить создание своего телеканала, пропагандирующего вопросы информационной безопасности и рассказывающего об этой теме непосвященному зрителю".
И вот спустя полтора года эта новость перестала быть шуткой и превратилась в реальность - Информзащита запустила новый проект - Интернет-ТВ по информационной безопасности. Вот и думай теперь - толи идеи витают в воздухе, толи... Посмотрим, что из этого выйдет.
И вот спустя полтора года эта новость перестала быть шуткой и превратилась в реальность - Информзащита запустила новый проект - Интернет-ТВ по информационной безопасности. Вот и думай теперь - толи идеи витают в воздухе, толи... Посмотрим, что из этого выйдет.
26.8.10
Шифрование и обезличивание
Всем известно требование нормативных документов ФСБ по персданным, согласно которому: "Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства". Выполнить это требование непросто, ввиду отсутствия сертифицированных решения для большого количества сценариев обработки ПДн. Но даже в том случае, если такое решение существует, немногие готовы его покупать. И из-за дороговизны, и из-за непонятности требования - ведь уровень защиты ПДн при этом не изменяется. Какая разница, чем зашифрованы ПДн - ГОСТом или AESом? Ни ФСБ, ни производитель, ни сертификационная лаборатория все равно никакой ответственности не несет. Так зачем, как говорилось в одной рекламе: "платить больше?"
Есть сценарий ухода от использования сертифицированных шифровальных средств при обработке ПДн. Но использовать его можно только в том случае, если вы готовы его обосновывать перед проверяющими (если таковые появятся на горизонте). Итак идея проста - вы не шифруете, вы обезличиваете ;-)
В приведенной выше формулировке ФСБ речь идет о защите ПДн. Обезличивание же никакого отношение к безопасности ПДн не имеет. Его цель - вывести данные из разряда персональных, тем самым снизив требования к оператору ПДн и его издержки. И шифрование по существующим международным документам (а также рекомендациям ЦБ и АРБ) является идеальным механизмом обезличивания. И ведь никто никогда не утверждал, что шифровальные средства ограничиваются только одной сферой применения - защитой. Их можно использовать для множества других задач - обеспечения целостности информации (и никто не требует сертификации средств, использующих CRC) или проверки подлинности информации. Почему нельзя использовать шифровальные средства для обезличивания информации? Запрет есть? Нет! Значит можно.
А что вытекает из этого? То, что для обезличивания вы можете использовать любые средства шифрования - даже, о, крамола, несертифицированные. Можно пойти дальше и спокойно применять IPSec на пограничных маршрутизаторах с целью не защиты данных, а их обезличивания. А для этого не надо ни сертификации шифровального средства, ни лицензии на его техобслуживание.
Есть сценарий ухода от использования сертифицированных шифровальных средств при обработке ПДн. Но использовать его можно только в том случае, если вы готовы его обосновывать перед проверяющими (если таковые появятся на горизонте). Итак идея проста - вы не шифруете, вы обезличиваете ;-)
В приведенной выше формулировке ФСБ речь идет о защите ПДн. Обезличивание же никакого отношение к безопасности ПДн не имеет. Его цель - вывести данные из разряда персональных, тем самым снизив требования к оператору ПДн и его издержки. И шифрование по существующим международным документам (а также рекомендациям ЦБ и АРБ) является идеальным механизмом обезличивания. И ведь никто никогда не утверждал, что шифровальные средства ограничиваются только одной сферой применения - защитой. Их можно использовать для множества других задач - обеспечения целостности информации (и никто не требует сертификации средств, использующих CRC) или проверки подлинности информации. Почему нельзя использовать шифровальные средства для обезличивания информации? Запрет есть? Нет! Значит можно.
А что вытекает из этого? То, что для обезличивания вы можете использовать любые средства шифрования - даже, о, крамола, несертифицированные. Можно пойти дальше и спокойно применять IPSec на пограничных маршрутизаторах с целью не защиты данных, а их обезличивания. А для этого не надо ни сертификации шифровального средства, ни лицензии на его техобслуживание.
25.8.10
HP покупает Fortify
17 августа компания HP объявила о покупке производителя средств защиты приложении - компании Fortify. Но у Fortify подход немного отличный от общепринятого. Его продукция не блокирует атаки на приложения, а ищет в них уязвимости как на этапе эксплуатации, так и на этапе создания (анализ исходных кодов). Детали сделки не разглашаются.
Описанная мной пару лет назад тенденция о скупке мелких игроков гигантами ИТ-рынка продолжается. HP купил Fortify, Intel купил McAfee... Не исключаю что кто-то скоро купит Check Point. Главное в таких сделках, чтобы приобретаемый продукт не прекратил свое существование в том виде, в котором его привыкли видеть заказчики. А то получится как с OpenSolaris, который Oracle все-таки прикрыл ;-(
Описанная мной пару лет назад тенденция о скупке мелких игроков гигантами ИТ-рынка продолжается. HP купил Fortify, Intel купил McAfee... Не исключаю что кто-то скоро купит Check Point. Главное в таких сделках, чтобы приобретаемый продукт не прекратил свое существование в том виде, в котором его привыкли видеть заказчики. А то получится как с OpenSolaris, который Oracle все-таки прикрыл ;-(
Как законно неиспользовать сертифицированные СКЗИ при передаче ПДн через Интернет?
Позиция ФСБ на использование СКЗИ достаточно давно озвучена и выглядит примерно следующим образом - необходимость применения средств шифрования определяется исходя из модели угроз, но... при передаче через Интернет единственным механизмом защиты ПДн является шифрование. При этом средства шифрования должны быть сертифицированными. Логика понятна, но согласиться с ней бывает трудно. Особенно, когда для принятого в организации способа передачи данных отсутствуют сертифицированные решения или когда организация уже использует IPSec в маршрутизаторах и не готова платить миллионы рублей за то, что и так уже работает (ведь сертификация в ФСБ на уровень защиты не влияет никак). Как быть?
Недавно услышал один из таких сценариев. Идея проста - передавать все ПДн через заграницу ;-) Как это облегчает задачу? Все просто. Согласно ст.4.4 ФЗ-152 "Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора". При этом в ст.12.2 ратифицированной нами Евроконвенции написано: "Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни". А т.к. в Европе нет требования использования сертифицированных в ФСБ СКЗИ, то такой сценарий вполне себе работоспособен.
Правда, в ст.12 есть 3 исключения, когда могут быть наложены свои локальные правила:
Недавно услышал один из таких сценариев. Идея проста - передавать все ПДн через заграницу ;-) Как это облегчает задачу? Все просто. Согласно ст.4.4 ФЗ-152 "Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора". При этом в ст.12.2 ратифицированной нами Евроконвенции написано: "Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни". А т.к. в Европе нет требования использования сертифицированных в ФСБ СКЗИ, то такой сценарий вполне себе работоспособен.
Правда, в ст.12 есть 3 исключения, когда могут быть наложены свои локальные правила:
- Передача отдельных категорий ПДн в силу характера этих данных
- Передача на территорию государства, не являющегося стороной Конвенции
- Передача через территорию государства , не являющегося стороной Конвенции.
24.8.10
О балансе интересов
Про баланс интересов я уже как-то писал. Это классное исключение, когда не надо получать согласие субъекта ПДн. И РКН часто заявляет, что они бы и рады следовать Евроконвенции, где это исключение есть, но не могут, т.к. в российском законодательстве его нет. Но они ошибаются. В Гражданском Кодексе есть классная глава - 50 - "Действия в чужом интересе без поручения". Согласно 980-й статьи этой главы: "Действия без поручения, иного указания или заранее обещанного согласия заинтересованного лица в целях предотвращения вреда его личности или имуществу, исполнения его обязательства или в его иных непротивоправных интересах (действия в чужом интересе) должны совершаться исходя из очевидной выгоды или пользы и действительных или вероятных намерений заинтересованного лица и с необходимой по обстоятельствам дела заботливостью и осмотрительностью". Т.е. многие ситуации, для которых сложно получить согласие, могут быть уведены под эту статью. Например, можно запросить БКИ о кредитоспособности заемщика (правда БКИ не имеет права отвечать, но это отдельная песня). Можно вести видеонаблюдение или контролировать посещаемые сайты (в целях обеспечения обязательств по содержанию имущества работодателя в целости и сохранности, а также в целях защиты информационных систем работодателя от вредоносного кода на Web-сайте). Ну и т.п.
А 2-й пункт 980-й статьи говорит, что даже если у госсоргана нет согласия гражданина на обработку его ПДн, то это и не нужно, т.к. для них "такие действия /в чужом интересе без согласия - А.Л./ являются одной из целей их деятельности".
А 2-й пункт 980-й статьи говорит, что даже если у госсоргана нет согласия гражданина на обработку его ПДн, то это и не нужно, т.к. для них "такие действия /в чужом интересе без согласия - А.Л./ являются одной из целей их деятельности".
23.8.10
Сбер опять жжет ;-)
Вы обращали внимание, что у Сбера на прошлой неделе появился новый раздел на главной странице - "Сотрудники, уволенные из Сбербанка". Вот интересно, как это соотносится с ФЗ-152 и требованием получать согласие у субъекта ПДн? А главное, какая цель записана у Сбера для обработки этих персданных? Ведь заранее ее было сложно предусмотреть, а найти в законодательство основание для такой публикации непросто. ЖКХшников за это Роскомнадзор наказывал. А у тех цель была благая - защита от неплательщиков.
20.8.10
Детальная карта курса по инцидентам
Меня попросили раскрыть программу курса по управлению инцидентами, что и я делаю. Совсем все не раскрываю, ибо оно тогда совсем не влезет на страницу А4.
Incident Management (Detail Map)
Incident Management (Detail Map)
Intel покупает McAfee
19 августа Intel объявил о покупке McAfee за почти 8 миллиардов (!) долларов! Цель Intel - включить технологии безопасности в устройства, ранее обойденные вендорами по безопасности, - мобильные и беспроводные устройства, ТВ, автомобили, медицинские устройства, банкоматы и т.д. Учитывая, что Intel выпускает процессоры и материнские платы, то она может встроить безопасность именно на этом уровне.
19.8.10
Как Сбербанк подвинул ФСБ в части криптографии
12 августа г-н Путин подписал распоряжение 1344-р "Об организации предоставления государственных и муниципальных услуг с использованием универсальной электронной карты". Текст распоряжение очень короткий - "В соответствии с частью 3 статьи 28 Федерального закона "Об организации предоставления государственных и муниципальных услуг" и в целях организации предоставления государственных и муниципальных услуг с использованием универсальной электронной карты определить федеральной уполномоченной организацией, осуществляющей функции, предусмотренные главой 6 указанного Федерального закона, открытое акционерное общество "Универсальная электронная карта". А вот следствия из этого распоряжения далеко идущие и вот почему.
Дело в том, что ОАО УЭК - детище трех банков (Сбербанка, Уралсиба и АкБарса), активно участвующих в проекте т.н. социальной карты, которая призвана стать единым идентификатором гражданина при оказании госуслуг, банковских услуг и т.п. И хотя отцом данного проекта является Уралсиб основную роль в проекте сейчас играет именно Сбербанк. Минэкономразвития уже даже объявило тендер на выполнение первого этапа работ по теме "Разработка пакета нормативных, методических и организационных документов по внедрению и использованию универсальной электронной карты гражданина".
И что спросите вы? Что тут такого? Очередная инициатива по отмыванию денег в государственных масштабах. Может быть, но... Так и не запустив в нормальном режиме Сберкарту (а потом и ОРПС) у Грефа сейчас появляется возможность реабилитироваться и он постарается ее не упустить. И вот тут и кроется изюминка. Дело в том, что данный проект, ориентированный на всех граждан России, будет построен на базе международного стандарта EMV, созданного American Express, JCB, MasterCard и Visa (почти те же игроки создали PCI DSS). А EMV ничего не знает об отечественной криптографии и требованиях ФСБ по использованию сертифицированных СКЗИ на базе ГОСТов при защите персональных данных и оказании госуслуг. Текущая спецификация стандарта EMV использует алгоритмы RSA, DES, 3DES, а также предлагает использовать в качестве дополнительного варианта криптографию на базе эллиптических кривых. Собственно тот же 3DES и сейчас используется в технологии DUET в ОРПС.
ФСБ закрывала на это глаза, т.к. данная деятельность попадала под исключения - "финансовые и платежные операции". Но проект по социальной карте - это совсем иной уровень. Это не только и не столько платежные операции (они вторичны для УЭК), сколько идентификация гражданина при получении госуслуг. А это уже совсем иная песня. Но что-то мне подсказывает, что Греф не будет всовывать в EMV наш ГОСТ и ФСБ придется поступиться своими правилами для осуществления столь значимого социального проекта.
А там и до обещанной либерализации недалеко... ;-)
Дело в том, что ОАО УЭК - детище трех банков (Сбербанка, Уралсиба и АкБарса), активно участвующих в проекте т.н. социальной карты, которая призвана стать единым идентификатором гражданина при оказании госуслуг, банковских услуг и т.п. И хотя отцом данного проекта является Уралсиб основную роль в проекте сейчас играет именно Сбербанк. Минэкономразвития уже даже объявило тендер на выполнение первого этапа работ по теме "Разработка пакета нормативных, методических и организационных документов по внедрению и использованию универсальной электронной карты гражданина".
И что спросите вы? Что тут такого? Очередная инициатива по отмыванию денег в государственных масштабах. Может быть, но... Так и не запустив в нормальном режиме Сберкарту (а потом и ОРПС) у Грефа сейчас появляется возможность реабилитироваться и он постарается ее не упустить. И вот тут и кроется изюминка. Дело в том, что данный проект, ориентированный на всех граждан России, будет построен на базе международного стандарта EMV, созданного American Express, JCB, MasterCard и Visa (почти те же игроки создали PCI DSS). А EMV ничего не знает об отечественной криптографии и требованиях ФСБ по использованию сертифицированных СКЗИ на базе ГОСТов при защите персональных данных и оказании госуслуг. Текущая спецификация стандарта EMV использует алгоритмы RSA, DES, 3DES, а также предлагает использовать в качестве дополнительного варианта криптографию на базе эллиптических кривых. Собственно тот же 3DES и сейчас используется в технологии DUET в ОРПС.
ФСБ закрывала на это глаза, т.к. данная деятельность попадала под исключения - "финансовые и платежные операции". Но проект по социальной карте - это совсем иной уровень. Это не только и не столько платежные операции (они вторичны для УЭК), сколько идентификация гражданина при получении госуслуг. А это уже совсем иная песня. Но что-то мне подсказывает, что Греф не будет всовывать в EMV наш ГОСТ и ФСБ придется поступиться своими правилами для осуществления столь значимого социального проекта.
А там и до обещанной либерализации недалеко... ;-)
18.8.10
То, что обычно не считают
Я уже писал о сценариях расчета стоимости инцидента с утечками данных. Одной из метрик является цена уведомления клиента об инциденте с его данными. В ст.21.4 ФЗ-152 такое требование тоже есть, но его мало кто оценивает и вообще предполагает выполнять. Но что, если... что если прикинуть, во сколько обойдется контакт с клиентом, чьи персональные данные пострадали от несанкционированного доступа или уничтожения? И можно ли это прикинуть заранее? Оказывается можно.
Я зашел на сайт "Почты России", на котором есть сервис автоматического рассчета почтовых отправлений (правда, рассчет делается при условии, что вы посылаете уведомление из Москвы). Итак вводим тип письма - заказное (заказное с уведомлением у меня почему-то не сработало). Затем указываем вес - около 20 грамм, способ доставки (я выбрал самый дешевый - наземный) и почтовый индекс получателя (для примера я брал Калининград и Владивосток). Оказалось, что стоимость такого отправления составляет около 30 рублей. Таким образом можно принять, что стоимость контакта с пострадавшим в России стоит около 1 доллара (без учета печати самого уведомления и покупки конверта). Осталось только умножить это на число клиентов и получить верхнюю границу потенциального ущерба от контакта с пострадавшими клиентами.
Я зашел на сайт "Почты России", на котором есть сервис автоматического рассчета почтовых отправлений (правда, рассчет делается при условии, что вы посылаете уведомление из Москвы). Итак вводим тип письма - заказное (заказное с уведомлением у меня почему-то не сработало). Затем указываем вес - около 20 грамм, способ доставки (я выбрал самый дешевый - наземный) и почтовый индекс получателя (для примера я брал Калининград и Владивосток). Оказалось, что стоимость такого отправления составляет около 30 рублей. Таким образом можно принять, что стоимость контакта с пострадавшим в России стоит около 1 доллара (без учета печати самого уведомления и покупки конверта). Осталось только умножить это на число клиентов и получить верхнюю границу потенциального ущерба от контакта с пострадавшими клиентами.
17.8.10
Где взять текст 330-ПП?
О 330-м Постановлении Правительства я уже писал. Около месяца назад задался целью получения официального текста этого постановления. Организовал запрос в ФСТЭК. И вот на днях был получен ответ. Ответ, если убрать преамбулу, следующий: "Сообщаем, что Правительством РФ для указанного постановления установлена ограничительная пометка "Для служебного пользования". Учитывая изложенное, указанное постановление может быть предоставлено только организациям, имеющим соответствующую лицензию Службы".
Вот я и думаю, что теперь я со спокойной совестью, опираясь на ответ ФСТЭК, а также ФЗ-152, ПП-1009 и ФЗ-294, могу не использовать сертифицированные решения по защите персданных. Ибо такого требования я в публичном доступе не видел, а регулятор отказал мне в доступе к документу, который "по слухам" это требование содержит.
Вот я и думаю, что теперь я со спокойной совестью, опираясь на ответ ФСТЭК, а также ФЗ-152, ПП-1009 и ФЗ-294, могу не использовать сертифицированные решения по защите персданных. Ибо такого требования я в публичном доступе не видел, а регулятор отказал мне в доступе к документу, который "по слухам" это требование содержит.
16.8.10
Обновление курса по управлению инцидентами
Писал уже про создание курс по управлению инцидентами. И вот на днях обновил его. Обновления коснулись следующих тем:
Общая схема курса теперь выглядит следующим образом:
- Пошаговая процедура управления инцидентами SANS
- Какими инцидентами обычно управляют в организациях?
- Примеры отчетов об оформлении инцидентов
- Стратегии управления инцидентами "защитить и забыть" и "найти и наказать"
- Детальный план создания CSIRT
- Сколько человек должно управлять инцидентами в организации?
- Как общаться с неизвестным абонентом, заявляющим об инциденте?
- Показатели качества CSIRT (а не только инцидентов)
- Модели существования CSIRT в организации
- Бизнес-модели существования CSIRT
- Бизнес-план создания CSIRT для руководства
- План создания CSIRT в MS Project
- Статистика мировых CSIRT по различным вопросам их существования
- Как оценить стоимость инцидента?
- Каков должен быть состав CSIRT?
- Программное обеспечение для работы CSIRT (трекинг инцидентов)
- Как приоритезировать инциденты? 9 различных схем
- Где можно найти доказательства инцидента?
- Как собирать доказательства?
- Где хранятся доказательства?
- Где искать следы на ПК?
- Что надо помнить о носителях данных?
- Управление отдельными видами инцидентов (ПК, маршрутизатор Cisco, Интернет, e-mail)
Общая схема курса теперь выглядит следующим образом:
3.8.10
Новый законопроект по лицензированию
На сайте Госдумы таки выложили текст законопроекта "О лицензировании отдельных видов деятельности", внесенного Правительством и на который я ссылался ранее. Это не изменение старого закона, а абсолютно новый ФЗ. Суть я уже озвучивал - уменьшение числа лицензируемых видов деятельности. По нашей теме таких видов три:
- разработка, производство, реализация и техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, а также выполнение работ (оказание услуг) в области шифрования информации
- разработка и производство средств защиты конфиденциальной информации
- деятельность по технической защите конфиденциальной информации.
2.8.10
Регулирование Интернет - версия законопроекта другого ведомства
В пятницу я писал о законопроекте Шлегеля в части регулирования Интернет. Сегодня пройдемся по законопроекту Минкомсвязи, который тоже планирует регулировать Интернет. Но как и в прошлый раз посмотрим на изменения только в части информационной безопасности. Предложения Минкомсвязи касаются внесения изменения сразу в несколько законов - трехглавого, о СМИ, УК РФ, ГК РФ и т.д.
Ничего сверхинтересного на самом деле нет - многие пункты повторяются и в Шлегелевском законопроекте. За редким исключением. Например, предлагается добавить в трехглавый закон такой пункт "информация, размещённая на сайте в сети Интернет, признаётся общедоступной, если владелец сайта либо иное лицо в порядке, определённом владельцем сайта, не установили ограничения доступа к ней". Иными словами не придется получать согласия у пользователей "одноклассников", "вконтакте" и других социальных сетей на обработку их ПДн.
Вводится попытка Интернет-паспортизации: "федеральными законами может быть предусмотрена обязательная идентификация личности, организаций, использующих сеть Интернет при осуществлении предпринимательской деятельности. При этом получатель электронного сообщения, находящийся на территории Российской Федерации, вправе провести проверку, позволяющую установить отправителя электронного сообщения, а в установленных федеральными законами или соглашением сторон случаях обязан провести такую проверку". Непонятно как это требование будет реализовываться на практике, но МВД своего не упустит.
Определяется шестимесячный срок хранения всех логов у Интернет-провайдеров: "оператор интернет-услуг сохраняет информацию о своих пользователях и об оказанных им услугах в течение шести месяцев с момента окончания оказания услуги или в течение более длительного периода, если это установлено иными федеральными законами".
Предлагается введение новой статьи УК - за фишинговые сайты. Правда, фишинг будет наказываться только в отношении сайтов органов власти, кредитных учреждений, торговых, страховых или общественных организаций. А вот, например, фишинг против медицинских учреждений не наказуем ;-(
Также вводится новое понятие: "угрозы информационной безопасности – действие или событие, которое может привести к разрушению, искажению, невозможности своевременного использования информации, а также несанкционированному использованию ресурсов информационно-телекоммуникационной сети".
Большое внимание уделяется взаимодействию Интернет-операторов с правоохранительными и судебными органами. По сути в этой части законопроект формализует то, что и так давно действует по сути.
Ничего сверхинтересного на самом деле нет - многие пункты повторяются и в Шлегелевском законопроекте. За редким исключением. Например, предлагается добавить в трехглавый закон такой пункт "информация, размещённая на сайте в сети Интернет, признаётся общедоступной, если владелец сайта либо иное лицо в порядке, определённом владельцем сайта, не установили ограничения доступа к ней". Иными словами не придется получать согласия у пользователей "одноклассников", "вконтакте" и других социальных сетей на обработку их ПДн.
Вводится попытка Интернет-паспортизации: "федеральными законами может быть предусмотрена обязательная идентификация личности, организаций, использующих сеть Интернет при осуществлении предпринимательской деятельности. При этом получатель электронного сообщения, находящийся на территории Российской Федерации, вправе провести проверку, позволяющую установить отправителя электронного сообщения, а в установленных федеральными законами или соглашением сторон случаях обязан провести такую проверку". Непонятно как это требование будет реализовываться на практике, но МВД своего не упустит.
Определяется шестимесячный срок хранения всех логов у Интернет-провайдеров: "оператор интернет-услуг сохраняет информацию о своих пользователях и об оказанных им услугах в течение шести месяцев с момента окончания оказания услуги или в течение более длительного периода, если это установлено иными федеральными законами".
Предлагается введение новой статьи УК - за фишинговые сайты. Правда, фишинг будет наказываться только в отношении сайтов органов власти, кредитных учреждений, торговых, страховых или общественных организаций. А вот, например, фишинг против медицинских учреждений не наказуем ;-(
Также вводится новое понятие: "угрозы информационной безопасности – действие или событие, которое может привести к разрушению, искажению, невозможности своевременного использования информации, а также несанкционированному использованию ресурсов информационно-телекоммуникационной сети".
Большое внимание уделяется взаимодействию Интернет-операторов с правоохранительными и судебными органами. По сути в этой части законопроект формализует то, что и так давно действует по сути.
30.7.10
Juniper покупает SMobile
27 июля Juniper объявила о покупке небольшой компании SMobile, занимающейся разработкой ПО для защиты мобильных устройств на базе Android, Apple iOS (iPhones и iPads), Symbian, BlackBerry и Windows Mobile. Сумма сделки - около 70 миллионов долларов. Емкость рынка не очень большая (для покупателя) - всего около миллиарда долларов к 2014 году. Но и сумма покупки тоже не зашкаливает.
24.7.10
Минкомсвязи жжет!
В последнее время Минкомсвязи как-то активизировалось на поприще PR своей деятельности. Правда, видимо, никто предварительно не проверяет ту чушь, которую Минкомсвязь генерит, а потом вещает с высокой трибуны. Но одно дело - пусть пыль в глаза Президенту и чиновникам, которые в ИТ понимают не сильно, и совсем другое дело - доносить эти "идеи" до ИТ-сообщества. Итак, по порядку.
22 июля Илья Массух, заместитель главы Минкомсвязи и его главный советник по Интернет-технологиям, заявляет, что национальную ОС все-таки создавать будут. Первая версия операционной системы может появиться уже в 2011 г. Я давно уже не программирую, но когда нам преподавали курс по ОС, нам говорили, что за год серьезную систему создать невозможно. Хотя если в Linux, на базе которой и будет создаваться нациольная ОС, поменять копирайт, как это многие делали в Norton Commander, то может и успеют за оставшееся время. По словам Массуха этот проект позволит "попробовать запустить создание операционных систем" в России. Ключевые слова "попробовать" и "операционных", из чего можно сделать, что у нас планируется создать, как минимум, больше одной ОС ;-)
23 июля тот же Массуж заявил о том, что в этом году за 10 миллионов рублей будет создан прототип почтового сервера для связи граждан с государством. А так это будет внутренняя почта между эти субъектами, то спам, по мнению Массуха, исключен. Как будто спам не может рассылаться гражданами в адрес государства и наоборот...
А вообще Массух очень примечательная личность. Ему принадлежат такие высказывания, как "мы оцифровали около 400 услуг" (имея ввиду, что на порталегосуслуг выложены описания 400 услуг), "электрификация услуг" (имея ввиду перевод их на электронные рельсы), "процедура не может быть механизирована" (имея ввиду участие человека в оказании услуги), "лично вице-премьер занимается наполнением портала" и т.д.
22 июля Илья Массух, заместитель главы Минкомсвязи и его главный советник по Интернет-технологиям, заявляет, что национальную ОС все-таки создавать будут. Первая версия операционной системы может появиться уже в 2011 г. Я давно уже не программирую, но когда нам преподавали курс по ОС, нам говорили, что за год серьезную систему создать невозможно. Хотя если в Linux, на базе которой и будет создаваться нациольная ОС, поменять копирайт, как это многие делали в Norton Commander, то может и успеют за оставшееся время. По словам Массуха этот проект позволит "попробовать запустить создание операционных систем" в России. Ключевые слова "попробовать" и "операционных", из чего можно сделать, что у нас планируется создать, как минимум, больше одной ОС ;-)
23 июля тот же Массуж заявил о том, что в этом году за 10 миллионов рублей будет создан прототип почтового сервера для связи граждан с государством. А так это будет внутренняя почта между эти субъектами, то спам, по мнению Массуха, исключен. Как будто спам не может рассылаться гражданами в адрес государства и наоборот...
А вообще Массух очень примечательная личность. Ему принадлежат такие высказывания, как "мы оцифровали около 400 услуг" (имея ввиду, что на порталегосуслуг выложены описания 400 услуг), "электрификация услуг" (имея ввиду перевод их на электронные рельсы), "процедура не может быть механизирована" (имея ввиду участие человека в оказании услуги), "лично вице-премьер занимается наполнением портала" и т.д.
23.7.10
Регулирование Интернет - новый законопроект
Комитет Государственной Думы по информационной политике, информационным технологиям и связи организовал публичное обсуждение нового законопроекта "О внесении изменений и дополнений в Федеральный закон«Об информации, информационных технологиях и о защите информации» в целях установления особенностей государственного регулирования деятельности, осуществляемой с использованием глобальных компьютерных сетей". Собственно этот законопроект и есть пресловутая попытка зарегулировать Интернет.
Среди интересных нам изменений могу отметить следующие:
Вот такой интересный законопроект. Устаревший принцип защиты на основе конфиденциальности информации по-прежнему сохранен, но видимо у законодателей нет специалистов-практиков в области ИБ, которые бы показали порочность такого подхода. Видимо не пришло еще время для коренного изменения законодательства об ИБ...
Среди интересных нам изменений могу отметить следующие:
- К принципам правового регулирования отношений в сфере информации, информационных технологий и защиты информации добавился: "установление нарушений прав и свобод других лиц, доказанных в установленном порядке, в качестве единственного возможного основания, безусловного введения ограничений осуществления прав и свобод человека и гражданина в сфере использования информационных технологий и глобальных компьютерных сетей". Иными словами - нет доказанного нарушения прав и свобод других лиц, не смей читать чужую переписку, блокировать Интернет-доступ и т.п. А если оно есть, то все равно потребуется решение суда.
- Другим принципом, повторяющим 23-ю статью Конституции, но специально введенным в законопроект отдельным пунктом является "запрет на внесудебное раскрытие тайны электронной переписки и любых иных сообщений, передаваемых в электронно-цифровой форме посредством глобальных компьютерных сетей". Т.е. попытки силовиков и правоохранительных органов получать доступ к чужой переписке без решения суда является неправомерным.
- Интересен пункт 5 новой, 15-й статьи - "Все неустранимые сомнения, противоречия и неясности нормативных правовых актов, регулирующих порядок осуществления деятельности с использованием глобальной компьютерной сети, толкуются в пользу пользователей глобальных компьютерных сетей и (или) операторов доступа к использованию глобальных компьютерных сетей". Т.е. не умеешь писать законы - сам виноват.
- Новая 16-я статья является переложением 1009-го Постановления Правительства о недействительности неправильно подготовленых нормативных правовых актов, регулирующих ИТ и ИБ.
- 18-я статья определяет, что основным принципом регулирования Интернет (в отсутствие иных нормативно-правовых актов) является саморегулирование и сетевой этикет.
- Интересен пункт 3 статьи 19 - "Принципы, стандарты, протоколы технического регулирования порядка организации и функционирования глобальных компьютерных сетей и ее сегментов (элементов), регламентируются исключительно компетентными международными органами. Указанные вопросы технического регулирования не могут регламентироваться нормативными правовыми актами Российской Федерации, если иное не установлено международными договорами Российской Федерации или правилами (стандартами) указанных международных организаций". Ох как много из него следует...
- Ст.20 посвящена электронной коммерции. В ней, например, сказано, что нельзя от участников e-бизнеса требовать чего-то такого, что не требуется от участников обычного бизнеса.
- В статье про ответственность добавлен пункт, что провайдер/хостер не несет ответственности за информацию, которая передается по его сетям или хранится на его ресурсах (если он об этом не знал).
Вот такой интересный законопроект. Устаревший принцип защиты на основе конфиденциальности информации по-прежнему сохранен, но видимо у законодателей нет специалистов-практиков в области ИБ, которые бы показали порочность такого подхода. Видимо не пришло еще время для коренного изменения законодательства об ИБ...
22.7.10
Президент Медведев внес в Госдуму новый законопроект "О безопасности"
Президент Медведев внес в Госдуму законопроект №408210 "О безопасности", который является существенно переработанной и отвечающей современным задачам России версией ФЗ-2446-1 от 1992 года. Ничего революционного я в законопроекте не заметил. Если только не считать смену принципов обеспечения безопасности. Если раньше на первом месте стояли:
Можно заметить, что на первое место вышли интересы гражданина. И они, как и написано в Конституции, стоят превыше всего. Мы возвращаемся к идее, предложенной рабочей группой академика Рыжова, которая и стояла у истоков создания первой версии закона "О безопасности". Но тогдашний руководитель КГБ Крючков и иже с ними идею верховенства интересов личности забраковала и поставила во главу угла интересы государства. Медведев все возвращает на круги своя.
Добавилась часть, связанная с международным сотрудничеством (что логично, учитывая деятельность Медведева в последнее время). Были систематизированы полномочия органов исполнительной власти, госвласти и органов местного самоуправления. Основным направляющим органом в области безопасности (включая ИБ) по-прежнему является Совет Безопасности.
Посмотрим, что выйдет из этой инициативы. По сути Президент вторгается в область, в которой исторически верховодили силовики во главе с премьером. И это примета нашего времени. В презентации по тенденциям законодательства в области ИБ я уже отмечал этот факт. Но сейчас понимаю, что глубинные течения гораздо сильнее, чем кажется на первый взгляд. И кто выйдет победителем из этой схватки пока непонятно...
- законность,
- соблюдение баланса жизненно важных интересов личности, общества и государства,
- интеграция с международными системами безопасности
- соблюдение прав и свобод человека и гражданина
- законность
- системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами политических, организационных, социально-экономических, информационных, правовых и иных мер обеспечения безопасности
- приоритет предупредительных мер при обеспечении безопасности
- взаимодействие федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов с общественными объединениями, международными организациями и гражданами в целях обеспечения безопасности.
Можно заметить, что на первое место вышли интересы гражданина. И они, как и написано в Конституции, стоят превыше всего. Мы возвращаемся к идее, предложенной рабочей группой академика Рыжова, которая и стояла у истоков создания первой версии закона "О безопасности". Но тогдашний руководитель КГБ Крючков и иже с ними идею верховенства интересов личности забраковала и поставила во главу угла интересы государства. Медведев все возвращает на круги своя.
Добавилась часть, связанная с международным сотрудничеством (что логично, учитывая деятельность Медведева в последнее время). Были систематизированы полномочия органов исполнительной власти, госвласти и органов местного самоуправления. Основным направляющим органом в области безопасности (включая ИБ) по-прежнему является Совет Безопасности.
Посмотрим, что выйдет из этой инициативы. По сути Президент вторгается в область, в которой исторически верховодили силовики во главе с премьером. И это примета нашего времени. В презентации по тенденциям законодательства в области ИБ я уже отмечал этот факт. Но сейчас понимаю, что глубинные течения гораздо сильнее, чем кажется на первый взгляд. И кто выйдет победителем из этой схватки пока непонятно...
21.7.10
Изменения в законе о лицензировании
19 июля в ходе заседания Президиума Правительства Российской Федерации был рассмотрен проект закона о лицензировании, который серьёзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности.
К сожалению самого законопроекта я так и не нашел ;-( Знаю только, что в нем осталась тематика связанная с лицензированием деятельности по защите информации и криптографии, но эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации. Сами эти виды деятельности должны будут регулироваться отдельными новыми Постановлениями Правительства. Больше деталей пока нет ;-(
К сожалению самого законопроекта я так и не нашел ;-( Знаю только, что в нем осталась тематика связанная с лицензированием деятельности по защите информации и криптографии, но эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации. Сами эти виды деятельности должны будут регулироваться отдельными новыми Постановлениями Правительства. Больше деталей пока нет ;-(
Либерализация в части криптографии?!..
Если посмотреть на текущую ситуацию на рынке ИБ, то можно увидеть, что возвращается период "холодной войны", когда иностранные державы воспринимались как реальный враг и СССР делал все, чтобы помешать проникновению к нам западных технологий. Сегодня некоторые регуляторы продолжают эту же политику, блокируя, мешая, делая непрозрачной процедуру ввоза на территорию РФ огромного спектра иностранного оборудования. И все это на фоне того, что Президент Медведев хочет переломить ситуацию. Достаточно посмотреть на его решения и записи в Twitter'е.
Например, 19 июня на заседании Комиссии по модернизации и технологическому развитию экономики России, одним из поручений стало: "Правительству Российской Федерации в целях содействия иностранным инвестициям в производство медикаментов, медицинской и компьютерной техники, телекоммуникационного, энергетического и энергосберегающего оборудования, другой высокотехнологичной продукции на территории Российской Федерации оптимизировать процедуры таможенного оформления, валютного и экспортного контроля при экспорте готовой продукции, а также при импорте комплектующих и оборудования".
В Twitter'е 12-го и 13-го июля были такие записи: "Надеюсь, в этом году Россия все-таки вступит в ВТО. Переговоры с отдельными странами по этому поводу сильно затянулись" (а ведь одним из камней преткновения была именно тема ввоза криптографии) и "Важно, что Россия и США понимают, что в основе национальной безопасности не оружие или шпионские игры, а устойчивое внутреннее развитие".
ЗЫ. Это и есть те тенденции к либерализации, которых якобы не видно. Просто не все становится достоянием общественности.
Например, 19 июня на заседании Комиссии по модернизации и технологическому развитию экономики России, одним из поручений стало: "Правительству Российской Федерации в целях содействия иностранным инвестициям в производство медикаментов, медицинской и компьютерной техники, телекоммуникационного, энергетического и энергосберегающего оборудования, другой высокотехнологичной продукции на территории Российской Федерации оптимизировать процедуры таможенного оформления, валютного и экспортного контроля при экспорте готовой продукции, а также при импорте комплектующих и оборудования".
В Twitter'е 12-го и 13-го июля были такие записи: "Надеюсь, в этом году Россия все-таки вступит в ВТО. Переговоры с отдельными странами по этому поводу сильно затянулись" (а ведь одним из камней преткновения была именно тема ввоза криптографии) и "Важно, что Россия и США понимают, что в основе национальной безопасности не оружие или шпионские игры, а устойчивое внутреннее развитие".
ЗЫ. Это и есть те тенденции к либерализации, которых якобы не видно. Просто не все становится достоянием общественности.
20.7.10
ФСТЭК опубликовал порядок доступа к ее документам
На сайте ФСТЭК опубликован порядок доступа организаций к документам, выпущенным этим достопочтенным органом исполнительной власти. Идея проста - напишите во ФСТЭК заявку, укажите свои реквизиты для отправки вам счета на оплату, и ждите документов.
Вирус для SCADA
Siemens разослал по своим заказчикам предупреждение об обнаружении вируса для SCADA (АСУ ТП) решений. То, о чем давно предупреждали эксперты, стало сбываться. Все больше систем управления технологическими процессами становятся более открытыми, переходят с закрытых протоколов на IP, что приводит к очевидным проблемам с безопасностью, о которых я уже писал (тут, тут и тут).
Так что, безопасность АСУ ТП - это горячая тема ближайшего времени. А специалистов по этой теме в России очень и очень немного ;-(
Так что, безопасность АСУ ТП - это горячая тема ближайшего времени. А специалистов по этой теме в России очень и очень немного ;-(
19.7.10
Минкомсвязи меняет 41 ФЗ
В Госдуму внесен законопроект №404643 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона
"Об информации, информационных технологиях и о защите информации", который вносит изменения в 41 федеральный закон в части приведения их к единой терминологии. "Компьютерный" и "телекоммуникационный" меняется на "информационно-телекоммуникационный", "конфиденциальная информация" меняется на "информации, в отношении которой установлено требование об обеспечении ее конфиденциальности", "сеть Интернет" на "информационно-телекоммуникационная сеть Интернет" и т.д.
Ничего сверхестественного в законопроекте нет. Просто решили через 3 года после принятия трехглавого закона привести все к единой терминологии...
"Об информации, информационных технологиях и о защите информации", который вносит изменения в 41 федеральный закон в части приведения их к единой терминологии. "Компьютерный" и "телекоммуникационный" меняется на "информационно-телекоммуникационный", "конфиденциальная информация" меняется на "информации, в отношении которой установлено требование об обеспечении ее конфиденциальности", "сеть Интернет" на "информационно-телекоммуникационная сеть Интернет" и т.д.
Ничего сверхестественного в законопроекте нет. Просто решили через 3 года после принятия трехглавого закона привести все к единой терминологии...
17.7.10
16.7.10
15.7.10
Американцы запускают Интернет-паспорт
25 июня Белый Дом США выпустил проект "Национальной стратегии в области доверенной идентификации в киберпространстве" (NSTIC), которая призвана решить вопрос с утечками персональных данных, мошенничествами, идентификацией в Интернет и т.п.
Суть идеи проста - создать экосистему, где пользователям больше не понадобится запоминать десятки логинов и паролей к различным Интернет-сервисам. Вместо этого они смогут использовать различные носители "цифрового паспорта" - смарт-карты, сертификаты, мобильные телефоны и т.п., с помощью которых смогут аутентифицироваться при доступе в Интернет-банкингу и Интернет-магазинам, заказе госуслуг, при отправке электронной почты и т.д.
Институт по стандартизации ANSI открыл сайт для сбора комментариев от любого специалиста. При этом, за каждое предложение можно проголосовать, чтобы эксперты смогли оценить перспективность того или иного предложения. Комментарии принимаются до 19 июля (сам проект был выпущен 25 июня). То есть "на все про все" - меньше месяца было выделено (умеют работать американцы ;-) Сама стратегия должна быть принята в сентябре/октябре этого года.
ЗЫ. Касперскому идея понравилась, но он считает, что американцы не понимают, как надо ее реализовывать. Мол безопасность в Интернет не может быть национальной, она должна быть глобальной и систему идентификации надо делать в масштабах всего Интернета, а не только в США. Тут я не соглашусь, т.к. все наоборот - американцы прекрасно понимают, что и как они делают. Чтобы хорошая идея загнулась, ее надо глобализовать ;-) Учитывая ситуацию с взаимодействием стран в киберпространстве, пытаться сделать что-то глобальное - это утопия. Гораздо разумнее сделать это в рамках одного государства, а потом поделиться опытом (насадить свой подход) с другими.
Суть идеи проста - создать экосистему, где пользователям больше не понадобится запоминать десятки логинов и паролей к различным Интернет-сервисам. Вместо этого они смогут использовать различные носители "цифрового паспорта" - смарт-карты, сертификаты, мобильные телефоны и т.п., с помощью которых смогут аутентифицироваться при доступе в Интернет-банкингу и Интернет-магазинам, заказе госуслуг, при отправке электронной почты и т.д.
Институт по стандартизации ANSI открыл сайт для сбора комментариев от любого специалиста. При этом, за каждое предложение можно проголосовать, чтобы эксперты смогли оценить перспективность того или иного предложения. Комментарии принимаются до 19 июля (сам проект был выпущен 25 июня). То есть "на все про все" - меньше месяца было выделено (умеют работать американцы ;-) Сама стратегия должна быть принята в сентябре/октябре этого года.
ЗЫ. Касперскому идея понравилась, но он считает, что американцы не понимают, как надо ее реализовывать. Мол безопасность в Интернет не может быть национальной, она должна быть глобальной и систему идентификации надо делать в масштабах всего Интернета, а не только в США. Тут я не соглашусь, т.к. все наоборот - американцы прекрасно понимают, что и как они делают. Чтобы хорошая идея загнулась, ее надо глобализовать ;-) Учитывая ситуацию с взаимодействием стран в киберпространстве, пытаться сделать что-то глобальное - это утопия. Гораздо разумнее сделать это в рамках одного государства, а потом поделиться опытом (
14.7.10
Принят новый RFC с отечественной криптографией
Новый RFC 5933 "Use of GOST Signature Algorithms in DNSKEYand RRSIG Resource Records for DNSSEC".
13.7.10
Logitech покупает производителя технологии межсетевых экранов для видео
Logitech, известный своими мышками и презентерами, 7 июля купил норвежскую компанию Paradial, которая являтся разработчиком технологий МСЭ и NAT traversal для видеокоммуникаций. Детали сделки не разглашаются.
Создание ярлыка на десктопе приравнено к уголовному преступлению!
Смешно, если бы не было так грустно. В середине мая против матроса Балтийского флота было заведено уголовное дело по ст.273 за... создание ярлыка на рабочем столе компьютера и изменение домашней страницы в браузере!!! В начале я думал, что это шутка и не стал про это писать. Потом мне казалось, что следователи поймут всю абсурдность своих действий и спустят дело на тормозах. Но вчера стало понятно, что нифига - следователей не устроили результаты экспертизы, которая не нашла в действиях матроса-срочника состава вменяемого преступления, и они послали вновь запрос на проведение экспертизы. Куда катится этот мир...
12.7.10
О 330-м постановлении Правительства
Вот забавная история происходит с пресловутым 330-м Постановлением Правительства "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)" (длинное название, взятое почти дословно из 5-й статьи ФЗ "О техрегулировании"). Его мало кто видел, ибо оно носит статус ДСП, что само по себе является нонсенсом для обязательного для всех операторов персданных нормативного документа.
Во-вторых, у него интересная область применения. Логично было бы предположить, что оно должно распространяться на все виды конфиденциальной информации... Ан нет. Только на государственные информационные ресурсы и персданные. Почему (хотя это и хорошо) за скобки вынесены врачебная тайна, тайна усыновления и т.п.? Ведь они не менее важны и критичны, чем персданные.
В-третьих, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Т.е. то, что было написано в 58-м приказе ФСТЭК и по разному толковалось разными экспертами теперь имеет четкое толкование - только обязательная сертификация.
В-четвертых, к принципам подтверждения соответствия относится "ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера". Иными словами ФСТЭК, ФСБ и МинОбороны теперь имеют полное право выпускать ДСПшные документы. Правда, совсем непонятно, как теперь соотносится 1009-е и 330-е постановления?..
Во-вторых, у него интересная область применения. Логично было бы предположить, что оно должно распространяться на все виды конфиденциальной информации... Ан нет. Только на государственные информационные ресурсы и персданные. Почему (хотя это и хорошо) за скобки вынесены врачебная тайна, тайна усыновления и т.п.? Ведь они не менее важны и критичны, чем персданные.
В-третьих, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Т.е. то, что было написано в 58-м приказе ФСТЭК и по разному толковалось разными экспертами теперь имеет четкое толкование - только обязательная сертификация.
В-четвертых, к принципам подтверждения соответствия относится "ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера". Иными словами ФСТЭК, ФСБ и МинОбороны теперь имеют полное право выпускать ДСПшные документы. Правда, совсем непонятно, как теперь соотносится 1009-е и 330-е постановления?..
8.7.10
Как через презентер засунуть вредоносный код?!
Ригель подкинул интересную ссылку. Дело дошло до того, что сломали логитеховский презентер, через который засунули на компьютер вредоносный код!!! Как жить в этом мире?! И главное, что ничего в данный момент сделать нельзя в принципе. Ни патч поставить, ни прошивку поменять ;-(
ЗЫ. Вот не зря у нас в Cisco SAFE целью считается любое IP-устройство. Для компа же такой целью должно считаться любое периферийное устройство. Даже то, которое на первый взгляд не может быть взломано в принципе.
ЗЗЫ. А у меня ведь Logitech R400 ;-(
ЗЫ. Вот не зря у нас в Cisco SAFE целью считается любое IP-устройство. Для компа же такой целью должно считаться любое периферийное устройство. Даже то, которое на первый взгляд не может быть взломано в принципе.
ЗЗЫ. А у меня ведь Logitech R400 ;-(
7.7.10
Национальная платежная система. Последние новости
Я уже писал о законопроекте "О национальной платежной системе". И вот перед глазами последняя версия законопроекта. Поменялось в ней немало по нашей тематике. Появилась ст.18, которая обязывает практически всех субъетов НПС соблюдать банковскую тайну в соответствие с законом "О банках и банковской деятельности".
Во-вторых, требования по ИБ устанавливает Правительство, а контроль и надзор за выполнением требований, установленных Правительством, осуществляется ФСБ и ФСТЭК. При этом дополнительно к требованиям Правительства (их пока нет), субъекты НПС должны соблюдать и требования по ИБ, установленные Банком России. А сами требования ЦБ должны быть согласованы с ФСТЭК и ФСБ. Надзор за требованиями ЦБ по ИБ обеспечивает сам ЦБ по процедуре согласованной с ФСТЭК и ФСБ.
В-третьих, ЦБ обязан установить требования по управлению рисками для операторов НПС. Скорее всего, речь пойдет о 242-П.
Во-вторых, требования по ИБ устанавливает Правительство, а контроль и надзор за выполнением требований, установленных Правительством, осуществляется ФСБ и ФСТЭК. При этом дополнительно к требованиям Правительства (их пока нет), субъекты НПС должны соблюдать и требования по ИБ, установленные Банком России. А сами требования ЦБ должны быть согласованы с ФСТЭК и ФСБ. Надзор за требованиями ЦБ по ИБ обеспечивает сам ЦБ по процедуре согласованной с ФСТЭК и ФСБ.
В-третьих, ЦБ обязан установить требования по управлению рисками для операторов НПС. Скорее всего, речь пойдет о 242-П.
6.7.10
Лицензия ФСТЭК на ТЗКИ! Нужна ли?
В продолжение темы про лицензию ФСБ на ТО СКЗИ. Читатель "Лео Харанен" подкинул ссылку на официальный ответ ФСТЭК на запрос Минздравсоцразвития.
5.7.10
Документы АРБ/ЦБ и письмо "шестерых"
Итак, новый СТО БР ИББС, сопутствующие документы, а также письмо "шестерых" утверждены. Письмо "шестерых" (АРБ, Ассоциация "Россия", ЦБ, ФСТЭК, Роскомнадзор и ФСБ) выложено на сайте АРБ. Я ждал немного иного текста, но и в данном варианте видно, что банк либо присоединяется к стандарту, либо нет. Во втором случае банк остается один на один с регуляторами. А вот будут ли руководствоваться регуляторы СТО или по-прежнему будут следовать своим документам, из письма "шести" не очевидно ;-(
Документы СТО опубликованы 29 июня 2010 года в "Вестнике Банка России" № 36-37 (1205-1206). Сам Вестник появится на сайте ЦБ в ближайшее время.
Документы СТО опубликованы 29 июня 2010 года в "Вестнике Банка России" № 36-37 (1205-1206). Сам Вестник появится на сайте ЦБ в ближайшее время.
1.7.10
Изменения в области ИБ: сегодня и завтра
Подготовил я тут для одной из конференций краткую презентацию по тому, что происходит в области регулирования ИБ (и что будет происходить). Может кому будет интересно...
30.6.10
Лицензия на ТО СКЗИ "для себя" нужна!
На днях ознакомился с документом ФСБ, в которым четко отвечено на вопрос - надо или нет получать лицензию на техобслуживание шифровальных средств для собственных нужд. И хотя г-н Баранов и другие сотрудники 8-ки регулярно на мероприятих (даже не парламентских слушаниях) утверждают, что лицензия на техобслуживания "для себя" не нужна, у Центра по лицензированию мнению совсем иное ;-(
ЗЫ. И правая рука не значет, что делает левая ;-(
ЗЫ. И правая рука не значет, что делает левая ;-(
29.6.10
Вчерашние парламентские слушания
Вчера, под руководством Комитета Госдумы по безопасности прошли парламентские слушания на тему "О совершенствовании федерального законодательства по обеспечению информационной безопасности при использовании информационно-коммуникационных технологий для оказания государственных услуг и осуществления межведомственного электронного документооборота". Общее впечатление - пока во властных структурах нет единого мнения не только о том, как должна строиться безопасность госуслуг, но и вообще мнения, что такое госуслуги и электронный документооборот. А раз нет объекта защиты, то и о защите говорить рано. Но все говорили...
Мне понравилось выступление ВРИО директора департамента государственной политики в области информатизации и информационных технологий Минкомсвязи. Кратко и по делу. Активная критика ФСБ в связи со слишком избыточными требованиями по криптографии. Предложение отказаться от сертифицированной криптографии в областях, не связанных с гостайной и иных аналогичных областях. Критика непрозрачности рынка регулирования ИБ. С аналогичной критикой выступал и Сенаторов М.Ю. из Банка России.
За ним выступал представитель Росинформтехнологий (начальник управления госуслуг). Эмоционально, но слишком много демагогии. Много критики в адрес госсорганов, уровень информатизации которых очень низок (хотя мне всегда казалось, что именно Росинформтехнологии отвечают за этот самый уровень). В качестве предложений было внесено два. Трансграничной считать передачу информации/данных между правовыми границами. Например, между двумя ведомствами или губернаторами. Вторая революционная идея - регистрировать любые попытки доступа к персданным любого субъекта. И при этом дать возможность субъекту в любое время получить доступ к собранной регистрационной информации. Видимо чиновники никогда не имели дела с логами аудита и не знают какого они объема бывают. К слову сказать, у нас в Cisco ежедневно фиксируется около 2 миллионов событий IDS и четыре с половиной миллиарда записей NetFlow!!! А делать тоже самое на порталах госуслуг, в АБС и даже в личном почтовом ящике... это утопия. Правда, чиновники Росинформтехнологий известны своими знаниями информационных технологий.
ФСБ не сказала ни о чем - обычные рассуждения о важности правового обеспечения систем электронного документооборота. Также ни о чем и многие другие докладчики, которым видимо дали указание выступить или им надо было просто засветиться. Как всегда по делу Емелин из АРБ (о непроработанности применения социальной карты применительно к госуслугам). Для многих вообще безопасность госуслуг приравнивается к использованию ЭЦП (ее активно критиковали) и УЦ (кои фундаментально ненадежны по причине недоказанности стойкости асимметричной криптографии).
Как всегда кратко и по делу Курило Андрей Петрович. Он завершил парламентские слушания и собственно его выступление и подвело черту под трехчасовым заседанием. Госуслуги - это явление социальное. И нельзя социальную проблему решать техническими мерами. Главное в госуслугах - это удобство для гражданина. Нет удобства, и до безопасности никому дела не будет, т.к. госуслугами никто не воспользуется.
Скоро на сайт Госдумы должны выложить материалы слушаний.
ЗЫ. А еще мне понравилось в фойе перед Малым залом Госдумы экспозиция на тему наркомании. После наших слушаний были вторые, молодежные. И к ним приурочили эту выставку, которая наглядно показывала этапы развития наркомана - от приобщения к первой дозе и заканчивая смертью. Также на выставке показывали традиционные места сокрытия наркотиков и были предметы из "кунсткамеры" - внутренние органы наркоманов и зародыши-уроды у матерей-наркоманш. Зрелище не для слабонервных...
Мне понравилось выступление ВРИО директора департамента государственной политики в области информатизации и информационных технологий Минкомсвязи. Кратко и по делу. Активная критика ФСБ в связи со слишком избыточными требованиями по криптографии. Предложение отказаться от сертифицированной криптографии в областях, не связанных с гостайной и иных аналогичных областях. Критика непрозрачности рынка регулирования ИБ. С аналогичной критикой выступал и Сенаторов М.Ю. из Банка России.
За ним выступал представитель Росинформтехнологий (начальник управления госуслуг). Эмоционально, но слишком много демагогии. Много критики в адрес госсорганов, уровень информатизации которых очень низок (хотя мне всегда казалось, что именно Росинформтехнологии отвечают за этот самый уровень). В качестве предложений было внесено два. Трансграничной считать передачу информации/данных между правовыми границами. Например, между двумя ведомствами или губернаторами. Вторая революционная идея - регистрировать любые попытки доступа к персданным любого субъекта. И при этом дать возможность субъекту в любое время получить доступ к собранной регистрационной информации. Видимо чиновники никогда не имели дела с логами аудита и не знают какого они объема бывают. К слову сказать, у нас в Cisco ежедневно фиксируется около 2 миллионов событий IDS и четыре с половиной миллиарда записей NetFlow!!! А делать тоже самое на порталах госуслуг, в АБС и даже в личном почтовом ящике... это утопия. Правда, чиновники Росинформтехнологий известны своими знаниями информационных технологий.
ФСБ не сказала ни о чем - обычные рассуждения о важности правового обеспечения систем электронного документооборота. Также ни о чем и многие другие докладчики, которым видимо дали указание выступить или им надо было просто засветиться. Как всегда по делу Емелин из АРБ (о непроработанности применения социальной карты применительно к госуслугам). Для многих вообще безопасность госуслуг приравнивается к использованию ЭЦП (ее активно критиковали) и УЦ (кои фундаментально ненадежны по причине недоказанности стойкости асимметричной криптографии).
Как всегда кратко и по делу Курило Андрей Петрович. Он завершил парламентские слушания и собственно его выступление и подвело черту под трехчасовым заседанием. Госуслуги - это явление социальное. И нельзя социальную проблему решать техническими мерами. Главное в госуслугах - это удобство для гражданина. Нет удобства, и до безопасности никому дела не будет, т.к. госуслугами никто не воспользуется.
Скоро на сайт Госдумы должны выложить материалы слушаний.
ЗЫ. А еще мне понравилось в фойе перед Малым залом Госдумы экспозиция на тему наркомании. После наших слушаний были вторые, молодежные. И к ним приурочили эту выставку, которая наглядно показывала этапы развития наркомана - от приобщения к первой дозе и заканчивая смертью. Также на выставке показывали традиционные места сокрытия наркотиков и были предметы из "кунсткамеры" - внутренние органы наркоманов и зародыши-уроды у матерей-наркоманш. Зрелище не для слабонервных...
28.6.10
25.6.10
Число сделок M&A на рынке ИБ растет
Согласно исследованию аналитического агентства The 451 Group рынок ИБ является одним из самых растущих по части сделок слияния/поглощения (M&A). После спада в 2008-2009 годах, когда низким было и число сделок и их совокупный объем, в первой половине 2010 года мы вышли на докризисный уровень и даже обошли его. В частности за первую половину 2010-го года в области ИБ было осуществлено 45 сделок на сумму 5,4 миллиарда долларов. За аналогичный период прошлого года было закрыто всего лишь 33 сделки на сумму 381 миллион долларов. В 2008 году сделок было 35 (на сумму 681 миллион), а в 2007-м 44 - на сумму 3,7 миллиарда. Именно 2007-й год считается рекордным в нашей области.
Trend Micro покупает humyo, а Trustwave покупает Breach Security
11 июня TrendMicro объявила о покупке небольшой и никому неизвестной английской компании humyo, которая занимается онлайн-хранением и синхронизацией данных. Детали сделки не разглашаются. Смысл сделки не очевиден и пользы для корпоративных пользователей никакой. Исключая, пожалуй, малый бизнес и домашних пользователей, которые получат новый "облачный" сервис, имеющий мало отношения к ИБ.
22 июня компания Trustwave объявила о покупке Breach Security - компании, известной на Западе своим Web Application Firewall. Детали сделки не разглашаются.
22 июня компания Trustwave объявила о покупке Breach Security - компании, известной на Западе своим Web Application Firewall. Детали сделки не разглашаются.
Президент Медведев в Cisco
Наверное только ленивый не слышал про 1 миллиард долларов, который Cisco планирует инвестировать в Россию и про посещение Президентом Медведевым нашего офиса в Калифорнии. Вот несколько фото с этого визита.
У Президента теперь есть не только iPhone 4, но и Cisco Flip Camera
Рукопожатие двух Президентов ;-)
Cisco, Россия, Терминатор ;-)
Куда перечислять деньги?
ЗЫ. Детали визита здесь (на обоих языках).
24.6.10
Новый документ ФСБ
ФСБ выпустила приказ от 22 марта 2010 г. N 132 "О порядке опубликования и вступления в силу приказов Федеральной Службы Безопасности Российской Федерации, признанных Министерством Юстиции Российской Федерации, не нуждающимися в государственной регистрации" (Консультант+ и Гарант), суть которого ясна из его названия ;-)
О частоте пересмотре стандартов
Просто мысли вслух: я уже как-то писал о прохождении курса оказания первой помощи и вот позавчера я проходил очередной update курса. Занятная история. Оказывается стандарты оказания первой медицинской помощи обновляются каждые 5 лет и 12-го ноября планируется новое обновление. Т.е. даже в такой, казалось бы, стабильной области, как оказание первой помощи, постоянно происходит что-то новое, требующее обновления. Что уж говорить о теме ИБ, которая меняется гораздо динамичнее, чем правила проведения сердечно-легочной реанимации. Но вот в России "стандарты" по ИБ не обновляются десятилетиями... А уж повышение квалификации сотрудники наших регуляторов видимо не проходят никогда ;-(
ЗЫ. К слову сказать, в России до сих пор нет своих стандартов оказания первой медицинской помощи.
ЗЫ. К слову сказать, в России до сих пор нет своих стандартов оказания первой медицинской помощи.
23.6.10
У Леты новое исследование российского рынка ИБ
Так сложилось, что я исторически анализирую исследования отечественного рынка ИБ, которое готовит Leta-IT. И вот 17-го июня было опубликовано новое исследование - за 2009-й год. Названо оно громко - "Начало эпохи compliance". Тут же можно начать критиковать, т.к. эпоха compliance, а не реальной ИБ, в России началась в 1992 году, с выходом РД ФСТЭК. Но это я придираюсь ;-) Хотя термин compliance авторами отчета понимается чуть шире, чем общепринято. Это и выход ИБ на уровень топ-менеджмента, и массовое внедрение международных стандартов по ИБ, и оценка соответствия ИБ требованиям контрагентов, и защита бизнес-процессов. Хочу заметить, что я еще год назад подвергал сомнению все эти тенденции и продолжаю оставаться на этой позиции. 2-3 десятка внедрений по PCI DSS или ISO 27001 - это еще не движущая сила рынка ИБ. Но это так, к слову; повторять свои прошлогодние тезисы я не буду. Посмотрим на новое.
Тема ПДн правильно названа важнейшим явлением на нашем рынке, но признать работу ФСТЭК положительным опытом я не могу даже с натяжкой. Также как и считать рекомендации Рособразования или Минздравсоцразвития адекватной отраслевой нормативной базой. Даже операторские документы в рамках НИР "Тритон" таковыми, увы, не являются, т.к. не получили поддержки на уровне отраслевого регулятора. Единственным хорошим примером отраслевой работы является результат действий Банка России (в котором и мне довелось поучаствовать). Да и то, относить его стоит не на 2009-й, а 2010-й год. Вообще вывод о том, что в 2009-м году родился новый рынок ИБ России я поддержать не могу. Не изменилось ровным счетом ничего. Ни регуляторы, ни потребители, ни законодатели...
Про цифры говорить не буду - я так и не понимаю, откуда они берутся. Но некоторые прогнозы вызывают сомнение. Например, рынок DLP. Расти он не будет. Все! Баста! Этот мыльный пузырь сдулся. Только Check Point привык выпускать продукты (исключая направление МСЭ), через 3-4 года, как это сделали все остальные вендоры. Большинство игроков этого рынка сделали DLP commodity-направлением и эта функция является одной из многих в предлагаемых продуктах (но никак не самостоятельным решением). Некоторые производители вообще ее бесплатно отдают. Повторяется ситуация как с antispyware-сегментом, который сначала был самостоятельным и быстрорастущим, а потом плавно вошел в состав антивирусного рынка.
Также не могу согласиться с тем, что расследование инцидентов ИБ - это новый сегмент нашего рынка. Это не сегмент, это попытка одной компании (читай Group IB) делать хорошее дело при отсутствии понимания важности этой задачи. Точнее понимание есть, а вот возможности ею адекватно заниматься нет. И дело даже не в противоречивости нормативной базы; она как раз непротиворечива. Просто идеология у нас пока другая. Важно не найти преступника, а вернуть систему в предъатакованное состояние; даже если при этом будут стерты следы инцидента. Кто захочет держать сервер упавшим только ради сбора доказательств, если над душой стоит начальник, грозящий увольнением?.. Доверия к правоохранительным органам нет. Да и ресурсов держать отдельный персонал на данную задачу мало кто может себе позволить держать.
Вывод о скорейшей смерти отечественных разработчиков нишевых средств защиты полностью поддерживаю. Я об этом говорю уже достаточно давно, но без успеха. За исключением парочки компаний, "горы продолжают рожать мышей" ;-( А вот с выводом, что "целью атак практически всегда является исполнение вредоносного кода" согласиться не могу в корне. Для антивирусного отчета - может быть. Но для общерыночного... Увы. Как этот вывод соотносится с утечками или DDoS-атаками, коих в России немало и которые нельзя сбрасывать со счетов.
Можно было и дальше продолжать анализровать отчет Леты, но зачем... Меня приглашали поучаствовать в его создании, но я отказался по ряду причин. Основной из них было то, что меня не устраивала основная цель выпуска этого отчета. Она, к сожалению, явно нигде не заявлена... хотя я ее уже упоминал в прошлых "анализах". В целом же, отчет позволяет судить о направлениях, которые для Леты являются ключевыми и которые она будет развивать в ближайшее будущее. Да и пресс-релизы компании-автора показывают, что в основе всего лежит именно бизнес этого российского интегратора, а не все существующие ниши отечественного рынка ИБ.
Тема ПДн правильно названа важнейшим явлением на нашем рынке, но признать работу ФСТЭК положительным опытом я не могу даже с натяжкой. Также как и считать рекомендации Рособразования или Минздравсоцразвития адекватной отраслевой нормативной базой. Даже операторские документы в рамках НИР "Тритон" таковыми, увы, не являются, т.к. не получили поддержки на уровне отраслевого регулятора. Единственным хорошим примером отраслевой работы является результат действий Банка России (в котором и мне довелось поучаствовать). Да и то, относить его стоит не на 2009-й, а 2010-й год. Вообще вывод о том, что в 2009-м году родился новый рынок ИБ России я поддержать не могу. Не изменилось ровным счетом ничего. Ни регуляторы, ни потребители, ни законодатели...
Про цифры говорить не буду - я так и не понимаю, откуда они берутся. Но некоторые прогнозы вызывают сомнение. Например, рынок DLP. Расти он не будет. Все! Баста! Этот мыльный пузырь сдулся. Только Check Point привык выпускать продукты (исключая направление МСЭ), через 3-4 года, как это сделали все остальные вендоры. Большинство игроков этого рынка сделали DLP commodity-направлением и эта функция является одной из многих в предлагаемых продуктах (но никак не самостоятельным решением). Некоторые производители вообще ее бесплатно отдают. Повторяется ситуация как с antispyware-сегментом, который сначала был самостоятельным и быстрорастущим, а потом плавно вошел в состав антивирусного рынка.
Также не могу согласиться с тем, что расследование инцидентов ИБ - это новый сегмент нашего рынка. Это не сегмент, это попытка одной компании (читай Group IB) делать хорошее дело при отсутствии понимания важности этой задачи. Точнее понимание есть, а вот возможности ею адекватно заниматься нет. И дело даже не в противоречивости нормативной базы; она как раз непротиворечива. Просто идеология у нас пока другая. Важно не найти преступника, а вернуть систему в предъатакованное состояние; даже если при этом будут стерты следы инцидента. Кто захочет держать сервер упавшим только ради сбора доказательств, если над душой стоит начальник, грозящий увольнением?.. Доверия к правоохранительным органам нет. Да и ресурсов держать отдельный персонал на данную задачу мало кто может себе позволить держать.
Вывод о скорейшей смерти отечественных разработчиков нишевых средств защиты полностью поддерживаю. Я об этом говорю уже достаточно давно, но без успеха. За исключением парочки компаний, "горы продолжают рожать мышей" ;-( А вот с выводом, что "целью атак практически всегда является исполнение вредоносного кода" согласиться не могу в корне. Для антивирусного отчета - может быть. Но для общерыночного... Увы. Как этот вывод соотносится с утечками или DDoS-атаками, коих в России немало и которые нельзя сбрасывать со счетов.
Можно было и дальше продолжать анализровать отчет Леты, но зачем... Меня приглашали поучаствовать в его создании, но я отказался по ряду причин. Основной из них было то, что меня не устраивала основная цель выпуска этого отчета. Она, к сожалению, явно нигде не заявлена... хотя я ее уже упоминал в прошлых "анализах". В целом же, отчет позволяет судить о направлениях, которые для Леты являются ключевыми и которые она будет развивать в ближайшее будущее. Да и пресс-релизы компании-автора показывают, что в основе всего лежит именно бизнес этого российского интегратора, а не все существующие ниши отечественного рынка ИБ.
22.6.10
Урюпинские впечатления
Решил поделиться впечатлениями от поездки в Урюпинск, на мероприятие Касперского, о котором я уже писал. Идея мероприятия (для меня) была проста - вывезти пишущую братию и рассказать им, какая классная компания - Лаборатория Касперского. Учитывая, что сегодня к СМИ принято относить не только традиционные издания, но и блоги и иные Интернет-ресурсы, то не менее половины участников представляли собой популярных блоггеров (с числом посетителей от тысячи).
А чтобы придать солидности (хотелось бы так думать) этому мероприятию были приглашены ведущие эксперты, в числе них и я. Так как журналисты просто так на мероприятия не едут, то им была обещана морковка - министр связи и массовых коммуникаций Игорь Щеголев. Забегая вперед, скажу, что он все-таки приехал, несмотря на проходящий днем позднее в Питере экономический форум с участием Медведева, Путина и других больших людей. С целью омоложения описанного контингента (хотя блоггеры и так не старики/старушки) были приглашены фанаты из фан-клуба Касперского.
Ну а теперь сами впечатления. Если коротко, то мне понравилось ;-) И сама идея поездки в Урюпинск, и организация мероприятия, и место проведения, и, главное, коллектив. Началось с чартерного поезда, выделенного специально под данное мероприятие.
17 часов поезда задали тон всей поездке. Начиная от посуды с царскими гербами и заканчивая классикой советского поездостроения - "на унитаз ногами не вставать" и "запрещается пользоваться унитазом при красном свете". В перерыве между приемами пищи происходило общение с прессой, игра в мафию, возлияния и просто тесное общение с коллегами.
Приезд в Урюпинск, в который в обычной жизни поезда вообще не ходят, прошла также в лучших советских традициях - школьники с шариками, духовой оркестр, огороженный милицией вокзал, высокие городские чины (мэр и иже с ним) и восторженные горожане, которые, видимо, давно такого не видели ;-)
Мне кажется, что Касперский одарил весь город шариками и майками со своим изображением.
Потом нас всех погрузили в автобусы и, в сопровождении мигалок, отвезли в пионерлагерь на берегу Хопра. Красивое место - сосны, песчаные пляжи, солнце, чистая река... Размещались кто где - кто-то в обычных лагерных корпусах с детскими кроватями, кто-то в палатках.
У меня была своя палатка, выгодно отличающаяся от централизованно предоставленных размером и надежностью ;-) Хорошо, что погодные условия позволяли не сильно напрягаться проживающим в Тунгусках и Памирках. Но абсолютно прозрачные стены, идеальная слышимость и близкое расположение матерчатых мест проживания друг к другу приводили к иным конфузам. Разнополая молодежь, проживающая вместе, времени ночью не теряла, чем вводила в замешательство и зависть окружающих ;-) Ну вы поняли о чем я говорю ;-) (пройдясь по блогам я заметил, что все снимали на фото как правило одну и ту же девушку-блоггершу - см.ниже).
До начала официальной части мероприятия, народ развлекался как мог - купание, волейбол, футбол, стрельба из лука, арбалета, пистолета и винтовки (это если не считать неимоверного количества пива, вина и иных крепких напитков, выставленного без ограничения для всеобщего доступа).
Охраняющие нас милицонеры, видимо давно не державшие в руках нормального оружия, настрелялись вволю и смогут при переаттестации выполнить нормативы по стрельбе из табельного оружия.
В официальной части было выступление министра о текущей ситуации с безопасностью в Интернет и о защите детей.Выступления были общеплановыми, без каких-либо серьезных заявлений. Хотя некоторые журналисты восприняли слова министра по своему - якобы в России планируется запретить доступ в Интернет детям до 10-ти лет. Могу смело сказать, что Щеголев такого не говорил.
Помимо Щеголева выступали и эксперты на различные животрепещущие темы - смс-мошенничество, ФЗ-152, киберпреступность, отечественная ОС, Интернет-паспортизация и т.п. По делу было мало чего сказано, но пофлеймили неплохо; да и журналистам с блоггерами будет о чем написать ;-) Было развенчано и несколько мифов. Первый о том, что Урюпинск существует. Этот мифический город действительно есть.
И коза - действительно символ города.
Второй миф о том, что Касперский - это не антивирус. Женя был активен, многословен, дружелюбен. Фаны в восторге ;-) Ночное наблюдение: идущие мимо моей палатки фаны переговариваются между собой и один говорит остальным: "Я осуществил свою детскую мечту - набухался с Каспером!" ;-)
Вечерняя программа была обычно разбита на три части. Первая - официальная. Концерт бардов - профессионалов и любителей. Было весело. Особенно урюпинский хит - "Я убил свою любовь" (если найду запись - выложу). Неофициальная вечерняя чась мне понравилась больше. Костер, гитара, чай на костре... Мне, как походнику с большим опытом, это было ближе, чем столы, заставленные алкоголем и жареный на вертеле барашек. Правда, малость мешала молодежь, которой бардовские песни незнакомы ;-( Третья часть - для желающих - централизованный просмотр матчей ЧМ-2010.
Последний день был не менее фееричен, чем первые. Утром пораньше коллектив раздвоился - основной контингент уехал в Урюпинск играть в городской квест, футбол с урюпинской администрацией и слушать лекцию Касперского для молодых урюпчан, а группа экспертов осталась в лагере - искупаться напоследок, пообщаться о наболевшем и закусить оставшимися консервами из тунца и паштетом. После краткой трапезы мы также уехали в Урюпинск, где в маленьком гетто (хотя я бы назвал его мини-зоо, где за решеткой находились москвичи, на которых любовались урюпинки и урюпинцы) был обед и Интернет.
Интернет, кстати, был слабоват. Либо не был учтен фактор блоггеров, которые строчили свои заметки днем и ночью, не взирая на свое состояние и окружение, тем самым съедая всю полосу.
Мы, т.е. эксперты, которые не интересовались ни чемпионатом по Counter Strike, ни иными игрищами. Нас занесло в обычный городской парк, где 7 взрослых мужиков как дети катались на детских аттракционах, вызывая удивленные взгляды проходящей молодежи и зависть у гуляющих детей.
В 8 вечера началась финальная вакханалия на главной площади города.
Посвящение Касперского в донские казаки, концерт с участием группы "Самоцветы", бразильский карнавал...
Все это перемежалось красивыми выпускниками/выпускницами-девятиклассниками.
Завершился день фейерверком, после которого мы все погрузились в поезд и отправились в обратный путь. Все повторилось ;-) Завтрак, обед, полдник, перемежающиеся общением с коллегами и интервью с журналистами.
Что в сухом остатке? Мне понравилось. Во всех смыслах. В первую очередь в части общения. Не так часто удается нормально, без оглядок на звания и должности, без постоянных взглядов на часы, поговорить о работе и жизни. Именно на таких мероприятиях понимаешь, кто чего стоит. Сейчас в Интернете началось обсуждение на тему "Кто гуру ИБ в России?". Выдвигаются различные кандидатуры... Я же могу сказать, что почти все эксперты (не все из них были названы на "банкире" и "профессионалах"), кто ездил на конференцию Касперского, являются таковыми "гуру". Общением с ними мероприятие и было ценно. Не говоря уже об антураже, который описан выше.
ЗЫ. Использованы фото ternovskiy, im-foto, lovigin, hiphipchinchin, vovstudio, с сайта фан-клуба Касперского и мои собственные.
ЗЗЫ. Еще один взгляд на мероприятие от редактора Webplanet.ru Лехи Андреева.
ЗЗЗЫ. Завершающий кадр по дороге в Урюпинск ;-)
А чтобы придать солидности (хотелось бы так думать) этому мероприятию были приглашены ведущие эксперты, в числе них и я. Так как журналисты просто так на мероприятия не едут, то им была обещана морковка - министр связи и массовых коммуникаций Игорь Щеголев. Забегая вперед, скажу, что он все-таки приехал, несмотря на проходящий днем позднее в Питере экономический форум с участием Медведева, Путина и других больших людей. С целью омоложения описанного контингента (хотя блоггеры и так не старики/старушки) были приглашены фанаты из фан-клуба Касперского.
Ну а теперь сами впечатления. Если коротко, то мне понравилось ;-) И сама идея поездки в Урюпинск, и организация мероприятия, и место проведения, и, главное, коллектив. Началось с чартерного поезда, выделенного специально под данное мероприятие.
17 часов поезда задали тон всей поездке. Начиная от посуды с царскими гербами и заканчивая классикой советского поездостроения - "на унитаз ногами не вставать" и "запрещается пользоваться унитазом при красном свете". В перерыве между приемами пищи происходило общение с прессой, игра в мафию, возлияния и просто тесное общение с коллегами.
Приезд в Урюпинск, в который в обычной жизни поезда вообще не ходят, прошла также в лучших советских традициях - школьники с шариками, духовой оркестр, огороженный милицией вокзал, высокие городские чины (мэр и иже с ним) и восторженные горожане, которые, видимо, давно такого не видели ;-)
Мне кажется, что Касперский одарил весь город шариками и майками со своим изображением.
Потом нас всех погрузили в автобусы и, в сопровождении мигалок, отвезли в пионерлагерь на берегу Хопра. Красивое место - сосны, песчаные пляжи, солнце, чистая река... Размещались кто где - кто-то в обычных лагерных корпусах с детскими кроватями, кто-то в палатках.
У меня была своя палатка, выгодно отличающаяся от централизованно предоставленных размером и надежностью ;-) Хорошо, что погодные условия позволяли не сильно напрягаться проживающим в Тунгусках и Памирках. Но абсолютно прозрачные стены, идеальная слышимость и близкое расположение матерчатых мест проживания друг к другу приводили к иным конфузам. Разнополая молодежь, проживающая вместе, времени ночью не теряла, чем вводила в замешательство и зависть окружающих ;-) Ну вы поняли о чем я говорю ;-) (пройдясь по блогам я заметил, что все снимали на фото как правило одну и ту же девушку-блоггершу - см.ниже).
До начала официальной части мероприятия, народ развлекался как мог - купание, волейбол, футбол, стрельба из лука, арбалета, пистолета и винтовки (это если не считать неимоверного количества пива, вина и иных крепких напитков, выставленного без ограничения для всеобщего доступа).
Охраняющие нас милицонеры, видимо давно не державшие в руках нормального оружия, настрелялись вволю и смогут при переаттестации выполнить нормативы по стрельбе из табельного оружия.
В официальной части было выступление министра о текущей ситуации с безопасностью в Интернет и о защите детей.Выступления были общеплановыми, без каких-либо серьезных заявлений. Хотя некоторые журналисты восприняли слова министра по своему - якобы в России планируется запретить доступ в Интернет детям до 10-ти лет. Могу смело сказать, что Щеголев такого не говорил.
Помимо Щеголева выступали и эксперты на различные животрепещущие темы - смс-мошенничество, ФЗ-152, киберпреступность, отечественная ОС, Интернет-паспортизация и т.п. По делу было мало чего сказано, но пофлеймили неплохо; да и журналистам с блоггерами будет о чем написать ;-) Было развенчано и несколько мифов. Первый о том, что Урюпинск существует. Этот мифический город действительно есть.
И коза - действительно символ города.
Второй миф о том, что Касперский - это не антивирус. Женя был активен, многословен, дружелюбен. Фаны в восторге ;-) Ночное наблюдение: идущие мимо моей палатки фаны переговариваются между собой и один говорит остальным: "Я осуществил свою детскую мечту - набухался с Каспером!" ;-)
Вечерняя программа была обычно разбита на три части. Первая - официальная. Концерт бардов - профессионалов и любителей. Было весело. Особенно урюпинский хит - "Я убил свою любовь" (если найду запись - выложу). Неофициальная вечерняя чась мне понравилась больше. Костер, гитара, чай на костре... Мне, как походнику с большим опытом, это было ближе, чем столы, заставленные алкоголем и жареный на вертеле барашек. Правда, малость мешала молодежь, которой бардовские песни незнакомы ;-( Третья часть - для желающих - централизованный просмотр матчей ЧМ-2010.
Последний день был не менее фееричен, чем первые. Утром пораньше коллектив раздвоился - основной контингент уехал в Урюпинск играть в городской квест, футбол с урюпинской администрацией и слушать лекцию Касперского для молодых урюпчан, а группа экспертов осталась в лагере - искупаться напоследок, пообщаться о наболевшем и закусить оставшимися консервами из тунца и паштетом. После краткой трапезы мы также уехали в Урюпинск, где в маленьком гетто (хотя я бы назвал его мини-зоо, где за решеткой находились москвичи, на которых любовались урюпинки и урюпинцы) был обед и Интернет.
Интернет, кстати, был слабоват. Либо не был учтен фактор блоггеров, которые строчили свои заметки днем и ночью, не взирая на свое состояние и окружение, тем самым съедая всю полосу.
Мы, т.е. эксперты, которые не интересовались ни чемпионатом по Counter Strike, ни иными игрищами. Нас занесло в обычный городской парк, где 7 взрослых мужиков как дети катались на детских аттракционах, вызывая удивленные взгляды проходящей молодежи и зависть у гуляющих детей.
В 8 вечера началась финальная вакханалия на главной площади города.
Посвящение Касперского в донские казаки, концерт с участием группы "Самоцветы", бразильский карнавал...
Все это перемежалось красивыми выпускниками/выпускницами-девятиклассниками.
Завершился день фейерверком, после которого мы все погрузились в поезд и отправились в обратный путь. Все повторилось ;-) Завтрак, обед, полдник, перемежающиеся общением с коллегами и интервью с журналистами.
Что в сухом остатке? Мне понравилось. Во всех смыслах. В первую очередь в части общения. Не так часто удается нормально, без оглядок на звания и должности, без постоянных взглядов на часы, поговорить о работе и жизни. Именно на таких мероприятиях понимаешь, кто чего стоит. Сейчас в Интернете началось обсуждение на тему "Кто гуру ИБ в России?". Выдвигаются различные кандидатуры... Я же могу сказать, что почти все эксперты (не все из них были названы на "банкире" и "профессионалах"), кто ездил на конференцию Касперского, являются таковыми "гуру". Общением с ними мероприятие и было ценно. Не говоря уже об антураже, который описан выше.
ЗЫ. Использованы фото ternovskiy, im-foto, lovigin, hiphipchinchin, vovstudio, с сайта фан-клуба Касперского и мои собственные.
ЗЗЫ. Еще один взгляд на мероприятие от редактора Webplanet.ru Лехи Андреева.
ЗЗЗЫ. Завершающий кадр по дороге в Урюпинск ;-)
21.6.10
ФАИТ доигрался - его закрыли
То, о чем так давно говорили в кулуарах произошло - Федеральное агентство по информационным технологиям (ФАИТ, оно же Росинформтехнологии) прекратит свое существование. В пятницу премьер-министр Владимир Путин вынес положительное заключение на данное предложение, и теперь проект указа о расформировании Росинформтехнологий должен поступить на подпись президенту Дмитрию Медведеву.
ЗЫ. Только недавно создал тег для новостей о ФАИТ и такая засада ;-)
ЗЫ. Только недавно создал тег для новостей о ФАИТ и такая засада ;-)
18.6.10
Изменение ПП-1009
Многие помнят, что первая версия (а также две последующих) четверокнижия было нелигитимным по той причине, что было выпущено в нарушение ПП-1009 об утверждении правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации (от 13 августа 1997 г.). Приказ ФСТЭК №58 был уже выпущен в соответствие с этим Постановлением - он был опубликован в "Российской газете", он был подписан директором ФСТЭК и он был зарегистрирован в МинЮсте.
И вот 15-го мая Правительство РФ выпустило 336-е Постановление "О внесении изменений в некоторые акты Правительства Российской Федерации", которое вносит изменения в ПП-1009. Среди них есть и такое положение: "Проекты нормативных правовых актов и нормативных документов федеральных органов исполнительной власти, которыми регулируются отношения в области организации и осуществления государственного контроля (надзора), в области установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, в области оценки соответствия и в области безопасности процессов производства, подлежат направлению в Министерство экономического развития Российской Федерации на заключение об оценке регулирующего воздействия. В этом заключении дается оценка регулирующего воздействия соответствующих решений с целью выявления положений, вводящих избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов субъектов предпринимательской и иной деятельности и бюджетов всех уровней бюджетной системы Российской Федерации".
Теперь все новые документы наших регуляторов, обязывающие предприятия приобретать только сертифицированные средства защиты, должны проходить экспертизу еще и в Минэкономразвития.
И вот 15-го мая Правительство РФ выпустило 336-е Постановление "О внесении изменений в некоторые акты Правительства Российской Федерации", которое вносит изменения в ПП-1009. Среди них есть и такое положение: "Проекты нормативных правовых актов и нормативных документов федеральных органов исполнительной власти, которыми регулируются отношения в области организации и осуществления государственного контроля (надзора), в области установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, в области оценки соответствия и в области безопасности процессов производства, подлежат направлению в Министерство экономического развития Российской Федерации на заключение об оценке регулирующего воздействия. В этом заключении дается оценка регулирующего воздействия соответствующих решений с целью выявления положений, вводящих избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов субъектов предпринимательской и иной деятельности и бюджетов всех уровней бюджетной системы Российской Федерации".
Теперь все новые документы наших регуляторов, обязывающие предприятия приобретать только сертифицированные средства защиты, должны проходить экспертизу еще и в Минэкономразвития.
17.6.10
Check Point покупает Liquid Machines
9 июня израильская компания Check Point анонсировала покупку американской, неизвестной в России, компании Liquid Machines, которая работает в сегменте ERM (Enterprise Rights Management). В отличие от провала с приобретением SourceFire разрешение на покупку Liquid Machines от госорганов Check Point'ом получено. Детали сделки не разглашаются.
16.6.10
Мнение ФАИТ о сертификации ФСБ и ФСТЭК, о NetBIOS и Linux
Я уже писал про выступление сотрудника ФАИТ, которое вызвало некоторое оживление у комментаторов ;-) Теперь я решил выложить некоторые фрагменты его выступления. В частности вот фрагмент про ранее упомянутый NetBIOS (протокол удаленного доступа к BIOS ;-) Он хотел этим знанием поделиться с представителями "Атласа", которые до него рассказывали про документированные функции удаленного управления компьютером (AMT, vPRO, WfM и т.д.), рассматриваемые как закладки.
Затем сотрудник ФАИТ (бывший сотрудник ФАПСИ, кстати) высказался о качестве сертификации в ФСБ криптосредств по классам КС1 и КС2. Он сравнивал ее с сертификацией зажигалки.
И, наконец, очередной шедевр. Опус про Linux, который загружается в BIOS и который разработали американские военные для ловли русских хакеров, про сертификацию Linux RH в ЦБИ и про квалификацию ФСТЭК в части сертификации по требованиям безопасности.
ЗЫ. Качество не самое высокое - писал на смартфон. Лучше слушать через наушники.
ЗЗЫ. Это мой первый опыт подкастинга. Так что сильно прошу не пинать - обработкой аудио я пока не занимался.
Затем сотрудник ФАИТ (бывший сотрудник ФАПСИ, кстати) высказался о качестве сертификации в ФСБ криптосредств по классам КС1 и КС2. Он сравнивал ее с сертификацией зажигалки.
И, наконец, очередной шедевр. Опус про Linux, который загружается в BIOS и который разработали американские военные для ловли русских хакеров, про сертификацию Linux RH в ЦБИ и про квалификацию ФСТЭК в части сертификации по требованиям безопасности.
ЗЫ. Качество не самое высокое - писал на смартфон. Лучше слушать через наушники.
ЗЗЫ. Это мой первый опыт подкастинга. Так что сильно прошу не пинать - обработкой аудио я пока не занимался.
15.6.10
Вперед, в Урюпинск - к козам и дятлам!
Лаборатория Касперского организует чартерный поезд в Урюпинск, легендарный и мифический город России. На берегу другой легенды - реки Хопер, пройдет конференция «Урюпинск — территория безопасности» с участием министров, больших чиновников, популярных блоггеров, известных экспертов в области информационной безопасности.
Одной из достопримечательностей Урюпинска является коза породы «лонская серебристая», которой на одной из площадей поставлен единственный в России памятник. Кроме того, Урюпинск — родина больших пестрых дятлов (Dendrocopos major из семейства Picidae), которые целый день оглашают окрестные леса энергичным, жизнеутверждающим перестуком. Эти невзрачные птицы очень близки «Лаборатории Касперского» — как трудолюбивые урюпинские дятлы долбят деревья в поисках личинок и червей, так и вирусные аналитики «Лаборатории» непрерывно долбят код вредоносных программ, чтобы выделить сигнатуры и внести их в базу.
Помимо наблюдения за козами и дятлами планируется общение министра связи Щеголева с блоггерами, лекции Евгения Касперского студентам, бардовский фестиваль, альтернативный чемпионат мира по футболу, бразильский карнавал, концерт группы "Самоцветы", турнир по Counter Strike и многое другое...
Я буду участвовать в круглых столах "Кибербезопасность государства: со щитом или на щите" и "Связанные одной сетью: могут ли сосуществовать свобода и безопасность в глобальной сети?"
Подробности тут...
ЗЫ. Проживание в палатках ;-)
Одной из достопримечательностей Урюпинска является коза породы «лонская серебристая», которой на одной из площадей поставлен единственный в России памятник. Кроме того, Урюпинск — родина больших пестрых дятлов (Dendrocopos major из семейства Picidae), которые целый день оглашают окрестные леса энергичным, жизнеутверждающим перестуком. Эти невзрачные птицы очень близки «Лаборатории Касперского» — как трудолюбивые урюпинские дятлы долбят деревья в поисках личинок и червей, так и вирусные аналитики «Лаборатории» непрерывно долбят код вредоносных программ, чтобы выделить сигнатуры и внести их в базу.
Помимо наблюдения за козами и дятлами планируется общение министра связи Щеголева с блоггерами, лекции Евгения Касперского студентам, бардовский фестиваль, альтернативный чемпионат мира по футболу, бразильский карнавал, концерт группы "Самоцветы", турнир по Counter Strike и многое другое...
Я буду участвовать в круглых столах "Кибербезопасность государства: со щитом или на щите" и "Связанные одной сетью: могут ли сосуществовать свобода и безопасность в глобальной сети?"
Подробности тут...
ЗЫ. Проживание в палатках ;-)
Подписаться на:
Сообщения (Atom)
